Elakkan TwitViewer Phishing: Gunakan Aplikasi Mesra OAuth

Ia menyaksikan suapan Twitter saya pada awal pagi, laut pengguna menghantar mesej yang sama: "Ingin tahu siapa yang mengamati anda di twitter !: //TwitViewer.net. "

Laman web ini, yang domainnya didaftarkan hari ini melalui perkhidmatan proksi Arizona, menjanjikan paparan foto-galeri seperti 200 orang terakhir yang datang ke halaman Twitter anda. Kos untuk perkhidmatan ini? Tiada apa-apa, simpan untuk nama pengguna dan kata laluan Twitter anda. Tangkapan? Anda hanya menyerahkan kelayakan pengesahan Twitter anda ke tapak yang tidak anda ketahui. Mengesahkan titik ini, laman web ini secara automatik menghantar mesej yang disebutkan di atas melalui kebenaran akaun Twitter anda dan secara automatik mengikuti anda ke akaun Twitter dari mana-mana foto rawak yang anda klik - orang yang anda percaya percaya melawat akaun anda.

[Bacaan lanjut: Perkhidmatan penstriman TV terbaik]

Twitter sendiri mengesyorkan bahawa pengguna yang mendaftar untuk "perkhidmatan" menukar kata laluan mereka. Tetapi ia tidak seperti penipuan yang dicadangkan ini tidak dapat dielakkan di tempat pertama. Malah, terdapat dua halangan yang besar di antara anda dan mana-mana laman web scamming di Twitter: Otak dan OAuth anda.

Ini patut dilakukan penyelidikan latar belakang sedikit sebelum anda secara membuta tuli melepaskan kelayakan log masuk utama anda ke mana-mana perkhidmatan Internet bertema Twitter apa-apa sahaja di Internet, untuk perkara itu). Adakah tapak kelihatan sah? Perasaan usus anda mungkin lebih tepat daripada yang anda fikirkan dulu. Adakah apa yang ditawarkan oleh laman web ini mungkin secara fizikal? Saya tidak dapat memikirkan cara laman web pihak ketiga menggunakan hanya log masuk dan kata laluan Twitter anda, akan dapat menjejaki pengguna Twitter lain yang telah mengklik pada halaman Twitter anda.

Bagi OAuth, ini adalah protokol pengesahan untuk aplikasi desktop dan Web yang direka untuk memastikan kelayakan log masuk anda selamat dari pihak ketiga. Aplikasi yang menyokong OAuth tidak meminta anda untuk nama pengguna atau kata laluan anda secara langsung. Sebaliknya, mereka menghantar permintaan ke Twitter dan meminta kebenaran untuk mengakses akaun anda.

Daripada log masuk ke pihak ketiga untuk menangani permintaan ini, anda masuk ke akaun Twitter anda melalui pelayan yang dipercayai oleh Twitter seperti biasa. Jabat tangan kebenaran untuk kebenaran berlaku melalui Twitter. Sebaik sahaja anda telah memberikan akses permohonan untuk melakukan apa sahaja, Twitter menjana kunci akses untuk aplikasi yang boleh dikonfigurasikan berdasarkan tahap akses atau masa yang berbeza. Anda mengawal proses dan syarat kelulusan, dan anda juga boleh mengalih keluar keizinan aplikasi selepas fakta.

Tidak semua aplikasi desktop dan Web pada masa ini menyokong OAuth, tetapi ia adalah cara yang jauh lebih selamat untuk memberi akses kepada pihak ketiga akaun daripada hanya menghantar nama pengguna dan kata laluan anda. Sekiranya anda perlu berbuat demikian, pastikan anda secara aman mempercayai laman web untuk memegang maklumat ini - dan akaun anda - dengan keyakinan. Keadaan TwitViewer telah menjejaskan beberapa orang yang lebih berpengaruh di Twitter: Jangan biarkan ia berlaku kepada anda!

[foto courtesy Mashable]

Update 12:44 PST: TwitViewer.net sekarang turun untuk mengira!