Evita il phishing di TwitViewer: usa app OAuth-friendly

Si è imbattuto nel mio feed Twitter al mattino presto, un mare di utenti che inviavano tutti lo stesso messaggio: "Vuoi sapere chi ti sta inseguendo su twitter!?: //TwitViewer.net. "

Il sito, il cui dominio è stato registrato oggi attraverso un servizio proxy dell'Arizona, promette una visualizzazione simile a una galleria fotografica delle ultime 200 persone che sono arrivate alla tua pagina Twitter. Il costo per questo servizio? Nulla, salvo il nome utente e la password di Twitter. La presa? Hai appena rinunciato alle tue credenziali di autenticazione di Twitter in un sito di cui non sai nulla. Dimostrando questo punto, il sito invia automaticamente il messaggio di cui sopra tramite il tuo account Twitter senza autorizzazione e ti segue automaticamente agli account Twitter di qualsiasi delle foto casuali su cui fai clic, persone a cui sei portato a credere che abbiano visitato il tuo account.

[Ulteriori letture: I migliori servizi di streaming TV]

Twitter stesso ora consiglia agli utenti che si sono registrati per il "servizio" di cambiare le loro password. Ma non è come se questa truffa suggerita fosse inevitabile in primo luogo. In realtà, ci sono due grandi barriere tra te e qualsiasi sito di truffa su Twitter: il tuo cervello e OAuth.

Vale la pena fare una piccola ricerca di fondo prima di buttare via ciecamente le credenziali di accesso principali a qualsiasi servizio Internet a tema Twitter (o qualsiasi cosa su Internet, per quella questione). Il sito sembra legittimo? I tuoi sentimenti istintivi potrebbero essere più accurati di quanto pensi prima. È ciò che offre il sito anche fisicamente possibile? Non riesco a pensare a come un sito di terze parti, utilizzando solo il tuo account di accesso e la password di Twitter, sia in grado di monitorare altri utenti di Twitter che hanno fatto clic sulla tua pagina Twitter.

Come per OAuth, questo è un protocollo di autenticazione per applicazioni desktop e Web pensate per proteggere le tue credenziali di accesso da terze parti. Le applicazioni che supportano OAuth non richiedono direttamente il nome utente o la password. Invece, inviano una richiesta a Twitter e chiedono il permesso per accedere al tuo account.

Anziché accedere a una terza parte per gestire questa richiesta, accedi al tuo account Twitter tramite i server fidati di Twitter come faresti normalmente. L'effettiva stretta di mano per le autorizzazioni avviene tramite Twitter. Una volta che hai dato all'applicazione l'accesso per fare qualsiasi cosa, Twitter genera una chiave di accesso per l'app che può essere configurata in base a diversi livelli di accesso o di tempo. È possibile controllare il processo di approvazione e i termini e persino rimuovere le autorizzazioni dell'applicazione dopo il fatto.

Non tutte le applicazioni desktop e Web attualmente supportano OAuth, ma è un metodo molto più sicuro per consentire a terze parti di accedere al proprio account piuttosto che semplicemente inviando il tuo nome utente e password. Se devi fare il secondo, assicurati di credere in modo implicito al sito per conservare queste informazioni e il tuo account in totale sicurezza. La situazione di TwitViewer ha colpito anche alcuni degli utenti più esperti di Net su Twitter: non lasciarlo accadere!

[foto di cortesia Mashable]

Aggiornamento 12:44 PST: TwitViewer.net è ora giù per il conteggio!