Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Nagyobb biztonságban lesznek a Twitterezők

Dojcsák Dániel, 2010. április 28. 08:43
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Kilenc hét múlva a Twitter kikapcsolja a kezdetektől működő alapszintű azonosítási rendszerét, amit a külső alkalmazások használhattak. Ettől fogva kizárólag az Oauth nevű megoldással kapcsolhatják majd hozzá magukat a külső szolgáltatások és alkalmazások a mikroblog rendszerhez.

hirdetés

Elsőre a változás nem tűnik forradalminak, de valójában a fejlesztők és a felhasználók szempontjából is fontos változás. A fejlesztők és a szolgáltatók közül azokat fogja érinteni, akik eddig nem tértek még át az Oauth megoldásra, s a klasszikus bejelentkeztetést csináltatták meg felhasználóikkal. Ezek az oldalakat könnyen megismerhetjük onnan, hogy bejelentkezéskor közvetlenül a szájton kell megadni a felhasználói nevet és jelszót.

Oauth, a jó auth

Az Oauth esetében ugyanez úgy történik, hogy az adott weboldalon, ha be szeretnénk jelentkezni, akkor az átdob minket a Twitter azonosítófelületére, ahol közvetlenül a Twitternek adjuk meg a jelszavunkat, s nem egy harmadik félnek. Az azonosítást követően az Oauth révén engedélyt adunk a külső szolgáltatónak, hogy hozzáférjen twitteres tartalmainkhoz. A régi megoldásra példa a hazai szereplők közül a Turulcsirip, az Oauth verzióra pedig például a Yamm.

Szintén érintettek a mobilos, vagy böngészőbe épülő, esetleg asztali kliensek, ahol eddig közvetlenül a program tárolta a loginnevet és a jelszót: a jövőben ezek sem használhatják a régi azonosítási rendszert. Itt viszont kivitelezhetetlen lenne a webalapú Oauth azonosítás, ők kapnak egy kiskaput, a stílusosan xAuth-nak elnevezett kliensazonosító megoldást. Itt a felhasználó látszólag a régi módon jelentkezik be, nem szükséges az Oauth webes felületen landolnia, de valójában a háttérben mégis ez történik. A lényeg, hogy harmadik fél számára ne kelljen kiadni a bejelentkezési információkat.

Lehetnek problémák

Sokan megkérdőjelezik, hogy ez egy jó döntés-e a Twitter részéről, hiszen erősen megbolygatja ezzel a kliens- és alkalmazás-ökoszisztémát. Igaz a felhasználók számára előnyös a változás, de sok fejlesztőnek okozhat majd fejtörést a következő időkben. Szerencsére a változás nem azonnali, hanem több mint 9 hetet kaptak azok, akik eddig nem a biztonságosabb azonosítást használták. Az "oauthcalypse" nevű projekt még egy visszaszámlálót is kapott, hogy az érintettek lássák, mennyi idejük van még cselekedni.

Az egyetlen API, ami kivételt képez a rendelkezés alól, az az úgynevezett streaming API, aminek segítségével az alkalmazások közel valós időben tudnak bizonyos adathalmazokat megkapni a Twittertől. Ez továbbra is használhatja az alap azonosítást. A többieknek viszont június 30-ig változtatni kell, s azok a fejlesztők, akik addig nem állítják át alkalmazásukat vagy szolgáltatásukat Oauth-ra, nem tudják majd tovább üzemeltetni azt. A felhasználók viszont örülhetnek, mert júliustól eggyel kevesebb rizikófaktor lesz a mikrobloghoz kapcsolódó extrák használatakor.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!