Undgå TwitViewer Phishing: Brug OAuth-Friendly Apps

Det stødte på min Twitter-feed tidligt om morgenen, et hav af brugere, der alle sendte den samme besked: "Vil du vide, hvem du stalker på twitter!?: //TwitViewer.net. "

Webstedet, hvis domæne blev registreret i dag via en proxy-tjeneste i Arizona, lover et fotogalleri-lignende skærmbillede af de sidste 200 personer, der kom til din Twitter-side. Omkostningerne til denne service? Intet, gem til dit Twitter brugernavn og kodeord. Fangsten? Du har lige opgivet din Twitter-godkendelsesoplysninger til et websted, du ikke ved noget om. På baggrund af dette punkt sender webstedet automatisk den ovennævnte meddelelse via din Twitter konto sans tilladelse og automatisk følger dig med på Twitter-konti for et af de tilfældige fotos, du klikker på - folk, som du har fået til at tro, besøgte din konto.

[Yderligere læsning: De bedste tv-streamingtjenester]

Twitter selv anbefaler nu, at brugere, der tilmeldte "tjenesten", ændrer deres adgangskoder. Men det er ikke som denne foreslåede fidus var uundgåelig i første omgang. Faktisk er der to store barrierer mellem dig og et svindelsted på Twitter: Din hjerne og OAuth.

Det er værd at lave lidt baggrundsforskning, før du blindt kaster dine primære loginoplysninger til enhver Twitter-tema-internettjeneste (eller noget på internettet, for den sags skyld). Er webstedet se legitimt? Din tarmfølelse kan være mere præcis, end du først tror. Er hvad webstedet tilbyder selv fysisk muligt? Jeg kan ikke tænke mig, at et tredjepartswebsted, der kun bruger din Twitter login og adgangskode, ville kunne spore andre Twitter-brugere, der har klikket på din Twitter-side.

Hvad angår OAuth, er dette en godkendelsesprotokol til desktop- og webapplikationer, der er designet til at holde dine loginoplysninger bekræftet fra tredjepart. Applikationer, der understøtter OAuth, beder dig ikke om dit brugernavn eller adgangskode direkte. I stedet sender de en anmodning til Twitter og beder om tilladelse til at få adgang til din konto.

I stedet for at logge ind på en tredjepart for at håndtere denne anmodning, logger du ind på din Twitter-konto via Twitters pålidelige servere, som du normalt ville. Den faktiske håndtryk for tilladelser finder sted via Twitter. Når du har givet adgang til programmet for at gøre det, opretter Twitter en adgangsnøgle til appen, som kan konfigureres ud fra forskellige niveauer af adgang eller tid. Du styrer godkendelsesprocessen og vilkårene, og du kan endda fjerne en applikations tilladelser efter faktisk.

Ikke alle desktop- og webapplikationer understøtter for øjeblikket OAuth, men det er en langt mere sikker metode til at give tredjepart adgang til din konto end blot at sende dit brugernavn og adgangskode. Hvis du skal gøre sidstnævnte, skal du sørge for, at du implicit stoler på webstedet for at holde disse oplysninger - og din konto - på tillid. TwitViewer-situationen ramte endda nogle af de mere netkundige folk på Twitter: Lad det ikke ske for dig!

[Photo courtesy Mashable]

Opdatering 12:44 PST: TwitViewer.net er nu ned for tællingen!