Video: How to use twitter - ट्विटर चलाना सीखे सिर्फ 5 मिनट में | Twitter Full Guide in Hindi (Oktober 2024)
Hvis du er en av de 250 000 Twitter-brukerne som fikk e-posten for tilbakestilling av passord på fredag, har du forhåpentligvis allerede endret passordet ditt. Hvis du bruker tredjepartsapper for å legge ut på Twitter, er det mulig at appene fortsatt bruker de gamle legitimasjonsbeskrivelsene dine. Avinstaller og installer appene på nytt for å være på den sikre siden.
Som vi rapporterte om SecurityWatch i løpet av helgen, stjal angripere brukernavn, e-postadresser, økt-symboler og saltede og hashede passord. Sessetokenser er en spesiell type kryptografiske informasjonskapsler som informerer mikrobloggingssiden om at brukeren allerede er logget inn. Så lenge økttoken fremdeles er gyldig (ikke utløpt, tilbakekalt eller slettet), kan brukere gå tilbake til Twitter uten å logge seg tilbake i hver gang.
Å tilbakekalle disse sesjonstokenene, slik Twitter sa det gjorde, sikrer at angripere som har klart å avskjære tokensene ikke kan få tilgang til kontoen din. Tatt i betraktning mengden av datastjeling av skadelig programvare der ute og høstet informasjonskapsler fra infiserte datamaskiner, er tilbakestilling av token upraktisk for brukerne (for å måtte logge seg på igjen), men effektivt til å holde angriperne ute.
Apper kan logge på
Imidlertid er det rapporter om at noen av symbolene som ble brukt av tredjepartsapper ikke ble berørt. Å opprette et nytt passord etter å ha mottatt tilbakestillingsvarselet forhindret ikke Twitter sine egne mobilapper eller desktop-klienter som TweetDeck fra å sende inn nye innlegg, rapporterte The Register. Vår helt egen Max Eddy sa at han måtte bytte passord til Twitter-kontoene sine i løpet av helgen, men ingen av tredjepartsappene han brukte ba ham om å oppdatere passordet med det nyere.
Apper som bruker Twitter API, er vanligvis avhengige av OAuth, en åpen standard for autentisering på flere nettsteder. Møtemerkene Twitter som er opphevet ser ikke ut til å ha påvirket apper som brukte OAuth til å håndtere autentisering. En person fortalte The Register at appene ikke ba om det nye passordet før det ble slettet og installert på nytt.
"Når et passord blir endret på en enhet og du har to andre enheter logget på med det gamle passordet (for eksempel), bør leverandøren avslutte alle åpne økter for den gitte kontoen, " sa McAfees Sean Duca, til The Register.
Apper som bruker OAuth mottar en kryptografisk øktenøkkel første gang den autentiseres med nettjenesten, og sender nøklene ved påfølgende besøk, fortalte Cesar Cerrudo, administrerende direktør for IOActive Labs, til SecurityWatch. Dette gjør at tredjepartsapper kan jobbe med den aktuelle tjenesten uten å sende passordinformasjonen gjentatte ganger.
Cerrudo hadde ikke sett på akkurat denne situasjonen ennå, så bød ikke på noen gjetninger om hva som skjedde. SecurityWatch har nådd ut til Twitter om hvordan den behandler OAuth-økter og venter på å høre tilbake.
Av retningslinjer utløper ikke Twitter for øyeblikket tilgangstegn, i henhold til selskapets veiledning til utviklere om bruk av OAuth. "Adgangstokenet ditt vil være ugyldig hvis en bruker eksplisitt avviser søknaden din fra innstillingene sine, eller hvis en Twitter-administrator avbryter søknaden din, " heter det i veiledningen.
Dette ville være den andre OAuth-relaterte hendelsen med Twitter de siste ukene. Cerrudo ropte nylig Twitter for å varsle brukere om et tillatelsesproblem som det stille hadde løst.
For mer fra Fahmida, følg henne på Twitter @zdFYRashid.
