היזםברנט סימונסמפרסם טור מעניין מאוד המוקדש לאבטחת שירותים באמצעות OAuth, פרוטוקול האימות המשמש, במיוחד, על ידי טוויטר, פייסבוק, Gmail או Windows Live.
זה מאפשר ליישומים להשתמש, לאחר אישור, בנתונים של חשבון המשויך לשירות. בקיצור, באמצעות זה לקוח שולחן העבודה שלך בטוויטר, או לקוח האייפון שלך בטוויטר יכולים לגשת לשירות המקוון של טוויטר.
טוויטר, בדיוק, מה שהיהקָרבָּן, לפני קצת יותר משבועיים, של פריצה של 250,000 חשבונות, כולל זה של ברנט סימונס. כמו כל הלקוחות שנפגעו, הוא קיבל מכתב מהשירות המודיע לו על החשד לפריצה לחשבון שלו.
טוויטר מאמין שהחשבון שלך נפרץ על ידי אתר או שירות שאינם טוויטר. איפסנו את הסיסמה שלך כדי למנוע מצדדים שלישיים לגשת לחשבון שלך
, מסביר מכתב הטוויטר.
ברנט משנה אפוא את הסיסמה שלו, בהתאם לבקשה, אך מופתע שלא להזין את הסיסמה החדשה הזו מלקוח האייפון שלו בטוויטר.מכיוון שזהו גם הקסם וגם הפגם (?) של OAuth: ברגע שהאפליקציה מאומתת במהלך החיבור הראשוני שלה, היא שומרת על זכות הגישה שלה גם אם החשבון המקושר שונה.הדרך היחידה למנוע מהאדם שפרץ לחשבון שלו להמשיך לגשת אליו, גם לאחר שינוי הסיסמה, היא לבטל את הגישה שניתנה לחשבון לאפליקציות מסוימות.
לשם כך, עליך להתחבר, מדפדפן אינטרנט, לחשבון הטוויטר שלך, לעבור להגדרות ולבטל, בזה אחר זה, את זכויות הגישה שניתנו ליישומי צד שלישי.
כל אדם נורמלי, שקורא את הודעת הטוויטר, היה מבין שבהחלפת הסיסמה שלו הוא מונע מהאקרים לגשת לחשבון שלו, וזה לא נכון
, הוא מציין.
אני מבין, כמתכנת, ש-OAuth הוא במידה מסוימת ערובה לאבטחה.אבל מי שמיישם את הפרוטוקול הזה צריך לנסות לחשוב כמו בני אדם רגיליםs, שבמקרה זה אמור לשלול אוטומטית את הגישה שניתנה לכל יישומי צד שלישי עד שהמשתמש יאמת שוב
(עם הסיסמה החדשה שלך).
