Закрытый сайт: JWT / OAUTH / Jamstack
Ele se deparou com o meu Twitter no início da manhã, um mar de usuários todos enviando a mesma mensagem: "Quer saber quem está perseguindo você no twitter!?: //TwitViewer.net "
O site, cujo domínio foi registrado hoje por meio de um serviço de proxy do Arizona, promete uma exibição semelhante a uma galeria de fotos das últimas 200 pessoas que chegaram à sua página do Twitter. O custo deste serviço? Nada, exceto pelo seu nome de usuário e senha do Twitter. A pegada? Você acabou de desistir de suas credenciais de autenticação do Twitter em um site sobre o qual não sabe nada. Provando isso, o site automaticamente envia a mensagem acima através de sua conta do Twitter sem permissão e segue-o automaticamente para as contas do Twitter de qualquer uma das fotos aleatórias que você clicar - as pessoas que você é levado a acreditar visitaram sua conta.
[Mais leitura: Os melhores serviços de streaming de TV]O próprio Twitter agora recomenda que os usuários que se inscreveram para o "serviço" mudem suas senhas. Mas não é como se este esquema sugerido fosse inevitável em primeiro lugar. Na verdade, existem duas grandes barreiras entre você e qualquer site de scamming no Twitter: Your brain e OAuth.
Vale a pena fazer uma pequena pesquisa antes de você cegamente lançar suas credenciais de login primárias em qualquer serviço de Internet com Twitter (ou qualquer coisa na Internet, para esse assunto). O site parece legítimo? Seus sentimentos podem ser mais precisos do que você pensa. A oferta do site é fisicamente possível? Não consigo pensar em como um site de terceiros, usando apenas o seu login e senha do Twitter, seria capaz de rastrear outros usuários do Twitter que clicaram em sua página do Twitter.
Quanto ao OAuth, este é um protocolo de autenticação para aplicativos da Web e de desktop projetados para manter suas credenciais de login protegidas de terceiros. Aplicativos que suportam OAuth não solicitam seu nome de usuário ou senha diretamente. Em vez disso, eles enviam uma solicitação ao Twitter e pedem permissão para acessar sua conta.
Em vez de fazer login em terceiros para lidar com essa solicitação, você faz login na sua conta do Twitter pelos servidores confiáveis do Twitter como faria normalmente. O aperto de mão real para permissões ocorre através do Twitter. Uma vez que você tenha dado acesso ao aplicativo para fazer o que quer que seja, o Twitter gera uma chave de acesso para o aplicativo que pode ser configurado com base em níveis variados de acesso ou tempo. Você controla o processo de aprovação e os termos e pode até mesmo remover as permissões de um aplicativo depois do fato.
Nem todos os aplicativos da Web e de desktop suportam atualmente o OAuth, mas é um método muito mais seguro de conceder acesso a terceiros a seus clientes. conta do que simplesmente enviar o seu nome de usuário e senha. Se você tiver que fazer o segundo, certifique-se de confiar implicitamente no site para manter essa informação - e sua conta - em sigilo. A situação do TwitViewer afetou até mesmo algumas pessoas mais experientes no Twitter: Não deixe que isso aconteça com você!
[foto cortesia do Mashable]
Atualização 12:44 PST: TwitViewer.net é agora para baixo para a contagem!
Na quarta-feira, o MySpace anunciará que tem suporte integrado para o padrões abertos OAuth e OpenID, para autenticação única e autenticação do usuário, com MySpaceID. Isso permitirá que seus membros entrem em sites compatíveis com MySpaceID com suas credenciais no MySpace.
[Mais leitura: Os melhores serviços de streaming de TV]
Como evitar golpes e ataques de phishing
Dicas e recomendações sobre como evitar golpes de phishing e ataques na Internet
Evitar ou evitar ser espionado pelo Governo
Ser espiado pode ser extremamente desagradável. Aqui estão algumas dicas que você vai ficar seguro e evitar ser espionado pela CIA ou pelo governo.