Android

Undvik TwitViewer Phishing: Använda OAuth-Friendly Apps

LevelUp 0x02 - Hacking OAuth 2.0 For Fun And Profit

LevelUp 0x02 - Hacking OAuth 2.0 For Fun And Profit
Anonim

Det kom över mitt Twitter-flöde tidigt på morgonen, ett hav av användare som alla skickar samma meddelande: "Vill du veta whos stalking you on twitter!?: //TwitViewer.net. "

Webbplatsen, vars domän registrerades idag via en proxy-tjänst i Arizona, lovar en bildgalleriliknande visning av de senaste 200 personer som kom till din Twitter-sida. Kostnaden för denna tjänst? Inget, spara för ditt Twitter användarnamn och lösenord. Fångsten? Du har bara gett upp dina Twitter-autentiseringsuppgifter till en webbplats du inte vet någonting om. Genom att bevisa denna punkt skickar webbplatsen automatiskt det ovan nämnda meddelandet genom ditt Twitter-konto sans tillstånd och följer automatiskt dig till Twitter-kontona för några av de slumpmässiga bilderna du klickar på - personer som du har fått tro på besökte ditt konto.

[Ytterligare läsning: De bästa TV-streamingtjänsterna]

Twitter själv rekommenderar nu att användare som anmält sig till "tjänsten" ändrar sina lösenord. Men det är inte som det här föreslagna bluff var oundvikligt i första hand. Faktum är att det finns två stora hinder mellan dig och någon scamming-plats på Twitter: Din hjärna och OAuth.

Det är värt att göra lite bakgrundsforskning innan du blint kasta bort dina primära inloggningsuppgifter till någon Twitter-temad Internet-tjänst (eller något på internet, för den delen). Ser webbplatsen ut legitim? Din känsla kan bli mer exakt än vad du först tänker. Är vad webbplatsen erbjuder fysiskt möjligt? Jag kan inte tänka mig att en tredje parts webbplats, med bara din Twitter-inloggning och lösenord, skulle kunna spåra andra Twitter-användare som har klickat på din Twitter-sida.

Vad gäller OAuth är detta ett autentiseringsprotokoll för skrivbord och webbapplikationer som är utformade för att hålla dina inloggningsuppgifter från tredje part. Program som stöder OAuth frågar dig inte om ditt användarnamn eller lösenord direkt. I stället skickar de en begäran till Twitter och ber om tillåtelse att komma åt ditt konto.

I stället för att logga in på en tredje part för att hantera denna begäran, loggar du in på ditt Twitter-konto via Twitters betrodda servrar som du normalt skulle. Den faktiska handskakningen för behörigheter sker via Twitter. När du har gett applikationsåtkomsten att göra vad som helst skapar Twitter en åtkomstnyckel för appen som kan konfigureras baserat på olika nivåer av åtkomst eller tid. Du kontrollerar godkännandeprocessen och villkoren, och du kan även ta bort en behörighet för en applikation.

Inte alla skrivbords- och webbapplikationer stöder för närvarande OAuth, men det är en mycket säkrare metod för att ge tredje part tillgång till din konto än att bara skicka över ditt användarnamn och lösenord. Om du måste göra det senare, se till att du implicit litar på webbplatsen att hålla denna information - och ditt konto - i förtroende. TwitViewer-situationen påverkade även några av de mer Net-savvy folk på Twitter: Låt det inte hända dig!

[Photo courtesy Mashable]

Uppdatera 12:44 PST: TwitViewer.net är nu ner för räkningen!

Det finns ett gammalt ordspråk att bygga en ny dator eller uppgradera en gammal: "Använd rätt verktyg för rätt jobb." Visst kan du använda ett smör kniv för att lossa en skruv eller ett tang för att dra åt ett moderkort, men det gör inte jobbet något jämnare, och man kan satsa på att det kan göra någon skada. Att använda rätt verktyg för ett visst jobb gör jobbet enklare och det förbättrar vanligtvis den slutliga kvaliteten på den färdiga produkten.

Det finns ett gammalt ordspråk att bygga en ny dator eller uppgradera en gammal: "Använd rätt verktyg för rätt jobb." Visst kan du använda ett smör kniv för att lossa en skruv eller ett tang för att dra åt ett moderkort, men det gör inte jobbet något jämnare, och man kan satsa på att det kan göra någon skada. Att använda rätt verktyg för ett visst jobb gör jobbet enklare och det förbättrar vanligtvis den slutliga kvaliteten på den färdiga produkten.

Varje systembyggare behöver ett antal verktyg för att slutföra alla PC-byggnader eller uppgradera med effektiviteten och precisionen hos en kirurg. Några av verktygen kommer att vara uppenbara, andra mindre.

Det finns så många systemrenare där ute, du kan packa en startskärm med dem. De är inte alla lika bra, och vissa har begränsningar för företagsanvändning. CCleaner och PC Decrapifier är bland de bästa, men de är inte helt gratis att använda i en professionell miljö. Företag som vill använda någon av dessa måste betala. Om du är en företagsanvändare som letar efter en riktigt fri systemrenare är ett intressant alternativ öppen källkod, BleachBit plattform.

Det finns så många systemrenare där ute, du kan packa en startskärm med dem. De är inte alla lika bra, och vissa har begränsningar för företagsanvändning. CCleaner och PC Decrapifier är bland de bästa, men de är inte helt gratis att använda i en professionell miljö. Företag som vill använda någon av dessa måste betala. Om du är en företagsanvändare som letar efter en riktigt fri systemrenare är ett intressant alternativ öppen källkod, BleachBit plattform.

BleachBits text-tunga gränssnitt är anpassat för användare som vet vad de gör.

Om du vill ladda upp en bild från din Xbox One och använda den som en gamerbild är det möjligt att göra det. Du kan också använda en USB-enhet för att ladda upp en bild och ställa den som din Xbox One-spelare.

Om du vill ladda upp en bild från din Xbox One och använda den som en gamerbild är det möjligt att göra det. Du kan också använda en USB-enhet för att ladda upp en bild och ställa den som din Xbox One-spelare.

Om du har sett dina medspelare med hjälp av en verklig bild på deras Xbox-profil, bör du veta att Xbox One låter dig använda en riktig bild av din egen eller praktiskt taget vilken som helst profil som spelare. Medan du kan göra det från datorn och använda Xbox-appen, delar jag hur jag använder en anpassad bild som gamerpic från din