Video: How to use twitter - ट्विटर चलाना सीखे सिर्फ 5 मिनट में | Twitter Full Guide in Hindi (Oktober 2024)
Hvis du er en af de 250.000 Twitter-brugere, der modtog e-mail til nulstilling af adgangskode på fredag, har du forhåbentlig allerede ændret din adgangskode. Hvis du bruger apps fra tredjepart til at skrive på Twitter, er det muligt, at disse apps stadig bruger dine gamle legitimationsoplysninger. Afinstaller og geninstaller apps, så de er på den sikre side.
Som vi rapporterede om SecurityWatch i weekenden, stjal angribere brugernavne, e-mail-adresser, sessionstokener og saltede og hashede adgangskoder. Sessionstokens er en speciel type kryptografiske cookies, der informerer mikroblogging-webstedet om, at brugeren allerede er logget ind. Så længe sessionstoken stadig er gyldig (ikke udløbet, tilbagekaldt eller slettet), kan brugere gå tilbage til Twitter uden at logge tilbage i hver gang.
At tilbagekalde disse session tokens, som Twitter sagde det gjorde, sikrer, at angribere, der har formået at aflytte tokenerne, ikke kan få adgang til din konto. I betragtning af mængden af datastjælpning malware derude, der høstes cookies fra inficerede computere, er det nemmere for brugerne at nulstille tokenet (for at skulle logge ind igen), men effektivt til at holde angribere ude.
Apps kan logge ind
Der er dog rapporter om, at nogle af de tokens, der bruges af tredjepartsapps, ikke blev påvirket. Oprettelse af en ny adgangskode efter modtagelse af nulstillingsmeddelelsen forhindrede ikke Twitter's egne mobile apps eller desktop-klienter som TweetDeck i at indsende nye indlæg, rapporterede The Register. Vores helt egen Max Eddy sagde, at han måtte ændre adgangskoder til sine Twitter-konti i løbet af weekenden, men ingen af de tredjepartsapps, han brugte, fik ham til at opdatere adgangskoden med den nyere.
Apps, der bruger Twitter API, er typisk afhængige af OAuth, en åben standard til godkendelse på flere websteder. De sessionstegn, som Twitter er tilbagekaldt, ser ikke ud til at have påvirket apps, der brugte OAuth til at håndtere godkendelse. En person fortalte The Register, at apps ikke bad om den nye adgangskode, før den blev slettet og geninstalleret igen.
"Når en adgangskode ændres på en enhed, og du har to andre enheder logget ind med den gamle adgangskode (for eksempel), skal sælgeren afslutte alle åbne sessioner for den givne konto, " fortæller McAfees Sean Duca til The Register.
Apps, der bruger OAuth, modtager en kryptografisk sessionnøgle, første gang den autentificeres med webservicen, og sender nøglerne ved efterfølgende besøg, fortalte Cesar Cerrudo, CTO for IOActive Labs, til SecurityWatch. Dette gør det muligt for tredjepartsapps at arbejde med den pågældende service uden gentagne gange at sende adgangskodeoplysninger.
Cerrudo havde ikke set på denne særlige situation endnu, så bød ikke nogen gæt på, hvad der skete. SecurityWatch har nået Twitter om, hvordan det behandler OAuth-sessioner og venter på at høre tilbage.
I henhold til politik "udløber Twitter i øjeblikket ikke adgangstegn" i henhold til virksomhedens vejledning til udviklere om brug af OAuth. "Dit adgangstoken er ugyldig, hvis en bruger eksplicit afviser din ansøgning fra deres indstillinger, eller hvis en Twitter-administrator suspenderer din ansøgning, " siger vejledningen.
Dette ville være den anden OAuth-relaterede hændelse med Twitter i de sidste par uger. Cerrudo opfordrede for nylig Twitter for ikke at underrette brugerne om et tilladelsesproblem, det roligt havde løst.
For mere fra Fahmida, følg hende på Twitter @zdFYRashid.
