27
Jan
2009

Stoppt OAuth die Twitter Hacks?

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Jetzt bewerten!)
Loading ... Loading ...

Das junge Jahr hat bisher zwei wesentliche Dinge gezeigt:

1. Twitter ist in aller Munde.  Sogar deutsche Politiker verhalten sich präsidentenhaft und zwitschern. Ein weiterer Indikator ist die stetig steigende Zahl der auf Twitter basierenden Mash-Ups, die beispeilsweise bereits mit ein paar Zeilen Code ein Ad Hoc Social Network erzeugen können.

2. Das Sicherheitssystem passt sich der Einfachtheit des Diensts leider an, sodass erste Meldungen zu gecrackten Accounts erschienen.

Während man das System dank $$$ und IT sicherlich gut im Hinblick der Nutzerzahlen skalieren kann, könnte man sich so langsam Gedanken über die Sicherheit machen. Abgesehen von XSS und Phishing bietet allein das Kennwort genügend Angriffspunkte.

Bisher dient ein Passwort zur Account-Administration, erlaubt Zugriff auf die Twitter-API und muss in viele Twitter-Mashups oder -Anwendungen eingegeben werden (“Password Anti-Pattern”). Um an fremde Twitter-Zugänge zu gelangen genügt es daher aus, eine einfache “Twitter-Anwendung” zu implementieren. Dabei kann es sich auch um eine reine Phishing-Seite handeln (ohne Funktion). Außerdem funktioniert die gute alte Wörterbuchattacke und dürfte an einem Tag mehrere hundert Accounts aufdecken. Im günstigsten Fall wird einharmloser FollowerVirus eingeschleust.

Der alleinige Einsatz von Captchas ist unmöglich, da die API blockiert würde.  Denkbar sind meines Erachtens protokollierende Mechanismen (wie z.B. IP-Logging), aber vor allem ein neues Sicherheitssystem. Zur Nutzung der API bieten sich beispielsweise API-Schlüssel an. Scheinbar arbeite man aber bereits an einer OAuth-Lösung, die man wie folgt umschreiben kann:

“Many luxury cars today come with a valet key. It is a special key you give the parking attendant and unlike your regular key, will not allow the car to drive more than a mile or two. Some valet keys will not open the trunk, while others will block access to your onboard cell phone address book. Regardless of what restrictions the valet key imposes, the idea is very clever. You give someone limited access to your car with a special key, while using your regular key to unlock everything.”  (http://oauth.net/about/

Update: Twitter macht Ernst und hat die OAuth-Lösung bereits ins Betastadium geschickt.

Gefällt Dir?

Eine Antwort

  1. Twitter Trains: Von Follower-Käufen und Phishing-Problemen auf datenschmutz.net
    21. Juli 2009 um 13:38

    [...] – die basieren einerseits auf Trust und andererseits auf der geringen Verbreitung der OAuth-Schnittstelle Twitters. Ed Wohlfahrt hat gestern ein sehr lesenswertes Posting zu diesem Thema [...]

Jetzt kommentieren

Ähnliche Erfahrungen

  1. Twitter setzt Applikation-Links auf nofollow
  2. Twitter News
  3. Deutsche Twitter-Charts reloaded
  4. Neue Twitter-Startseite
  5. Listen auf Twitter – I like!
  6. Mehr Besucher durch Twitter
  7. Sind Twitter-Mashups legal
  8. Fehler in der Twitter-Suche
  9. Twitter-Spam
  10. schuelerVZ-Buschfunk schlägt Twitter um Faktor 500
  11. Twitter ändert Reply-Funktionalität
  12. Twitter kann süchtig machen
  13. Twitter-Suche funktioniert wieder
  14. Twitter-Mosaik
  15. studiVZ integriert Twitter und SMS
  16. Mobile studiVZ-Seite als Twitter-Schnittstelle zum Buschfunk
  17. Twitternutzung legt um 34% zu
  18. Twitter-Surium – Apps und Plugins
  19. Linktipps zum Brückentag
  20. 10 Linktipps zu Karneval