Video: How to use twitter - ट्विटर चलाना सीखे सिर्फ 5 मिनट में | Twitter Full Guide in Hindi (September 2024)
Om du är en av de 250 000 Twitter-användare som fick e-postadressen för lösenordsåterställning på fredag, har du förhoppningsvis redan ändrat ditt lösenord. Om du använder tredjepartsappar för att posta på Twitter är det möjligt att dessa appar fortfarande använder dina gamla referenser. Avinstallera och installera om apparna så att de är på den säkra sidan.
Som vi rapporterade om SecurityWatch under helgen, stal angripare användarnamn, e-postadresser, sessionstokens och saltade och hashade lösenord. Session tokens är en speciell typ av kryptografiska cookies som informerar mikrobloggarplatsen om att användaren redan är inloggad. Så länge sessionstoken fortfarande är giltig (inte löpt ut, återkallas eller raderas) kan användare gå tillbaka till Twitter utan att logga in igen i varje gång.
Återkallande av dessa sessionstoken, som Twitter sa det gjorde, säkerställer att angripare som har lyckats fånga tokens inte kan komma åt ditt konto. Med tanke på mängden datastjällande skadlig programvara där ute som skördar cookies från infekterade datorer är återställning av token olämpligt för användare (för att behöva logga in igen) men effektivt för att hålla angriparna ute.
Appar kan logga in
Det finns dock rapporter om att några av de tokens som används av tredjepartsappar inte påverkades. Att skapa ett nytt lösenord efter att ha fått återställningsmeddelandet hindrade inte Twitter: s egna mobilappar eller stationära klienter som TweetDeck från att skicka in nya inlägg, rapporterade registret. Vår helt egen Max Eddy sa att han var tvungen att byta lösenord till sina Twitter-konton under helgen, men ingen av de tredjepartsappar han använde fick honom att uppdatera lösenordet med det nyare.
Appar som använder Twitter API förlitar sig vanligtvis på OAuth, en öppen standard för autentisering på flera webbplatser. De sessionstoken som Twitter återkallas verkar inte ha påverkat appar som använde OAuth för att hantera autentisering. En person sa till The Register att apparna inte bad om det nya lösenordet förrän det raderades och installerades igen.
"När ett lösenord ändras på en enhet och du har två andra enheter inloggade med det gamla lösenordet (till exempel), bör säljaren avsluta alla öppna sessioner för det givna kontot, " sa McAfees Sean Duca, berättade The Register.
Appar som använder OAuth får en kryptografisk sessionnyckel första gången den autentiseras med webbtjänsten och skickar nycklarna vid efterföljande besök, berättade Cesar Cerrudo, CTO för IOActive Labs, till SecurityWatch. Detta tillåter tredjepartsappar att arbeta med den aktuella tjänsten utan att upprepade gånger skicka lösenordsinformation.
Cerrudo hade inte tittat på just den här situationen än så det gav inga gissningar om vad som hände. SecurityWatch har nått Twitter om hur det behandlar OAuth-sessioner och väntar på att höra tillbaka.
Enligt policy "utgår för närvarande inte åtkomsttoken" enligt företagets vägledning till utvecklare om att använda OAuth. "Din åtkomsttoken kommer att vara ogiltig om en användare uttryckligen avvisar din ansökan från sina inställningar eller om en Twitter-administratör stänger din ansökan, " sade vägledningen.
Detta skulle vara den andra OAuth-relaterade incidenten med Twitter de senaste veckorna. Cerrudo uppmanade nyligen Twitter för att meddela användare om ett behörighetsproblem som det tyst hade fixat.
För mer från Fahmida, följ henne på Twitter @zdFYRashid.
