Authentication and Authorization in a Cloud and Microservice World by Stefan Reuter and Thomas Kruse
มันมาในฟีด Twitter ของฉันในตอนเช้าทะเลของผู้ใช้ทั้งหมดส่งข้อความเดียวกัน: "ต้องการทราบ whos stalking คุณใน Twitter!?: //TwitViewer.net "
เว็บไซต์ที่มีโดเมนจดทะเบียนในวันนี้ผ่านทางบริการพร็อกซีแอริโซนาสัญญาการแสดงภาพเหมือนแกลลอรี่ 200 คนล่าสุดที่เข้ามายังหน้า Twitter ของคุณ ค่าใช้จ่ายสำหรับบริการนี้? ไม่มีอะไรให้บันทึกชื่อผู้ใช้และรหัสผ่าน Twitter ของคุณ จับ? คุณเพิ่งให้ข้อมูลรับรองการตรวจสอบผ่าน Twitter กับเว็บไซต์ที่คุณไม่รู้จัก ยืนยันจุดนี้เว็บไซต์จะส่งข้อความดังกล่าวข้างต้นโดยอัตโนมัติผ่านบัญชี Twitter ของคุณโดยไม่ได้รับอนุญาตและจะติดตามคุณไปยังบัญชี Twitter ของรูปภาพสุ่มที่คุณคลิกโดยอัตโนมัติ - ผู้ที่คุณเชื่อว่าได้เข้าชมบัญชีของคุณ
[อ่านเพิ่มเติม: บริการสตรีมมิ่งทีวีที่ดีที่สุด]Twitter เองขอแนะนำให้ผู้ใช้ที่สมัครใช้ "บริการ" เปลี่ยนรหัสผ่านของตน แต่ก็ไม่ได้เป็นเช่นนี้แนะนำการหลอกลวงเป็นสิ่งที่หลีกเลี่ยงไม่ได้ในตอนแรก ในความเป็นจริงมีอุปสรรคใหญ่สองข้อระหว่างคุณและไซต์ที่หลอกลวงบน Twitter: สมองและ OAuth
ควรทำวิจัยพื้นหลังเล็กน้อยก่อนที่จะสุ่มสี่สุ่มห้าโยนข้อมูลรับรองการเข้าสู่ระบบหลักของคุณไปใช้บริการอินเทอร์เน็ตของ Twitter ที่มีธีม สิ่งที่อยู่บนอินเทอร์เน็ตสำหรับเรื่องนั้น) ไซต์ มีลักษณะ ถูกต้องหรือไม่? ความรู้สึกท้องของคุณอาจจะถูกต้องกว่าที่คุณคิด ข้อเสนอของไซต์มีอะไรที่เป็นไปได้หรือไม่? ฉันไม่สามารถคิดได้ว่าไซต์ของบุคคลที่สามโดยใช้ข้อมูลการเข้าสู่ระบบและรหัสผ่าน Twitter ของคุณจะสามารถติดตามผู้ใช้ Twitter คนอื่น ๆ ที่คลิกที่หน้า Twitter ของคุณได้
สำหรับ OAuth นี่คือโปรโตคอลการตรวจสอบสิทธิ์ สำหรับแอพพลิเคชันเดสก์ท็อปและเว็บที่ออกแบบมาเพื่อรักษาข้อมูลรับรองการเข้าสู่ระบบของคุณให้ปลอดภัยจากบุคคลที่สาม แอปพลิเคชันที่สนับสนุน OAuth ไม่ขอให้คุณระบุชื่อผู้ใช้หรือรหัสผ่านของคุณโดยตรง แทนที่จะลงชื่อเข้าใช้บัญชีบุคคลที่สามเพื่อจัดการกับคำขอนี้คุณลงชื่อเข้าใช้บัญชี Twitter ผ่านเซิร์ฟเวอร์ที่เชื่อถือได้ของ Twitter ตามที่คุณต้องการ การจับมือที่เกิดขึ้นจริงสำหรับสิทธิ์จะเกิดขึ้นผ่านทาง Twitter เมื่อคุณได้รับสิทธิ์การเข้าถึงแอปพลิเคชันแล้ว Twitter จะสร้างคีย์การเข้าถึงสำหรับแอปซึ่งสามารถกำหนดค่าตามระดับการเข้าถึงหรือเวลาที่แตกต่างกันได้ คุณสามารถควบคุมกระบวนการอนุมัติและข้อกำหนดได้และคุณสามารถลบสิทธิ์ของแอ็พพลิเคชันได้หลังจากที่จริง
แอปพลิเคชันบนเดสก์ท็อปและเว็บบางเครื่องไม่สนับสนุน OAuth แต่เป็นวิธีที่ปลอดภัยกว่ามากในการให้บุคคลที่สามเข้าถึง ไม่ใช่แค่ส่งชื่อผู้ใช้และรหัสผ่านของคุณ ถ้าคุณต้องทำหลังให้แน่ใจว่าคุณไว้วางใจโดยนัยเว็บไซต์เพื่อเก็บข้อมูลนี้ - และบัญชีของคุณ - ในความเชื่อมั่น สถานการณ์ TwitViewer ได้รับผลกระทบแม้แต่คนพื้นบ้านที่เข้าใจเว็บมากขึ้นบน Twitter: อย่าปล่อยให้มันเกิดขึ้นกับคุณ
[ภาพมารยาท Mashable]
ปรับปรุง 12:44 PST:
TwitViewer.net อยู่ในขณะนี้ ลงไปนับ!
คุณลักษณะ Twitter OAuth สามารถถูกละเมิดได้เพื่อแย่งชิงบัญชีนักวิจัยกล่าวว่า
คุณลักษณะใน Twitter API (อินเตอร์เฟซการเขียนโปรแกรมแอ็พพลิเคชัน) ถูกโจมตีโดยผู้บุกรุกเพื่อเปิดการโจมตีด้านวิศวกรรมสังคมที่น่าเชื่อถือซึ่งจะทำให้พวกเขามีโอกาสสูงที่จะถูกแย่งชิงบัญชีผู้ใช้ซึ่งเป็นผู้พัฒนาแอพพลิเคชันมือถือเปิดเผยในวันพุธที่ Hack ในการประชุมด้านความปลอดภัย Box ใน Amsterdam
ใช้แอป Files สำหรับ Windows Phone เพื่อแชร์วิดีโอ
นอกเหนือจากการช่วยจัดการไฟล์และเนื้อหาไฟล์ แอปพลิเคชันสำหรับ Windows Phone สามารถช่วยคุณแบ่งปันไฟล์วิดีโอและรูปภาพไปยังเว็บผ่านทาง NFC และบลูทู ธ
ใช้แอป Chrome สำหรับการยืนยันบัญชี Google แบบ 2 ขั้นตอน
ใช่ใช้แอป Chrome สำหรับการยืนยันบัญชี Google แบบ 2 ขั้นตอน ไม่จำเป็นต้องใช้ SMS ไม่ต้องใช้รหัสสำรองและไม่ต้องใช้แอป Google Authenticator