Twitter hat neue Richtlinien für Entwickler eingeführt: Ab heute müssen Zugriffe auf seine Programmierschnittstellen mit TLS/SSL verschlüsselt erfolgen, sonst werden sie blockiert. Dies soll zusätzlich zur Sicherheit der Anwender beitragen.
Die neuen Anforderungen hatte Twitter schon vor rund einem Monat kommuniziert. Letzte Woche veranstaltete es zudem einen „Blackout“-Test, der den reinen HTTP-Zugriff verhinderte und alle Entwickler noch nicht umgestellter Apps auf das Problem aufmerksam gemacht haben dürfte. Außerdem verschickte es gestern eine letzte Erinnerung.
„Verbindungen zur API mit dem SSL-Protokoll etabliert einen sicheren Kommunikationskanal zwischen unseren Servern und Ihren Anwendungen, was bedeutet, dass vertrauliche Daten nicht von Agenten, die in der Mitte der Verbindung sitzen, ausgelesen oder verändert werden können“, steht in einem Blogbeitrag vom Dezember. Bisher konnten Apps im Klartext auf die API zugreifen.
Die Verschlüsselung erzwingt Twitter nun für alle API-URLs, darunter alle Schritte des Verfahrens OAuth, um ein Auslesen fremder Passwörter zu verhindern, und die REST-API-Ressourcen sind betroffen. Für Endnutzerverbindungen im Web machte Twitter 2011 den Einsatz von SSL verpflichtend – kurz zuvor auch Google und Facebook. Im Jahr 2013 führte es zudem TSL Forward Secrecy ein.
Die zusätzliche Absicherung soll die Endanwender besser schützen und dafür sorgen, dass Hacker weniger oft in Twitter-Konten auch prominenter Firmen und Einzelpersonen eindringen, wie es die Syrian Electronic Army seit einem Jahr erfolgreich praktiziert. Sie hatte erst wieder in den letzten Wochen mindestens vier Microsoft-Konten bei Twitter entführt. Zu ihren Techniken gehört bekanntlich Spearphishing, also ein Angriff auf einzelne Nutzer per Mail. Microsoft hat bisher keine Angaben gemacht, ob tatsächlich ein Mitarbeiter auf eine präparierte Mail hereingefallen ist und einen bösartigen Link angeklickt hat.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
