Istinomer i TOL online trening - Napredna pretraga interneta
Korisnici koji su se prijavili u treće strane Web ili mobilne aplikacije koje koriste svoje Twitter račune možda su tim aplikacijama dale pristup svojim privatnim "izravnim" porukama na Twitteru, bez da to znaju, prema Cesar Cerrudo, glavnom tehnološkom časniku sigurnosne konzultantske tvrtke IOActive.
Ovo pitanje je rezultat nedostatak u API-ju Twittera (sučelje za programiranje aplikacija) koje je dovelo do toga da korisnici nisu pravilno obaviješteni o dozvolama koje aplikacija ima na svoj račun Jednom je odobren pristup. Cerrudo je opisao problem i objasnio kako ga je otkrio u postu objavljenom u utorak.
Aplikacije koje korisnicima omogućuju prijavu sa svojim računima na Twitteru moraju biti registrirane na Twitteru na //dev.twitter.com/apps. Tijekom registracije, njihovi programeri moraju proglasiti razinu pristupa aplikacijama na računima ljudi: "samo čitanje", "čitanje i pisanje" ili "čitanje, pisanje i pristup izravnim porukama".
[Daljnje čitanje: Kako za uklanjanje zlonamjernih programa s računala sa sustavom Windows]Kada se korisnici prvi put pokušaju prijaviti na takav program pomoću svojih računa na Twitteru, oni se preusmjeravaju na stranicu za autorizaciju na web-mjestu Twittera koja navodi dozvole koje zahtijeva određena aplikacija.
Cerrudo je rekao da je otkrio problem dok je testirala aplikaciju koju je razvio prijatelj koji je imao dopuštenje za "čitanje, pisanje i pristup izravnim porukama".
Kada je prvi put prijavio aplikaciju sa svojim Twitter račun je preusmjeren na stranicu autorizacije koja mu je obavijestila da će aplikacija moći čitati tweete sa svoje vremenske trake, vidjeti koje korisnike slijedi, slijediti nove korisnike u njegovo ime, ažurirati profil inf ormation i post tweets u njegovo ime, rekao je on. Stranica je jasno napomenula da aplikacija neće moći pristupiti izravnim porukama ili lozinki računa.
"Nakon pregledavanja prikazane web stranice, vjerovao sam da Twitter ne bi aplikaciji omogućio pristup lozinki i izravnim porukama", dodao je. napisao je na blogu. "Osjetio sam da je moj račun siguran, pa sam se prijavio i igrao s aplikacijom."
Istraživač je primijetio da aplikacija ima funkcionalnost za pristup i prikaz izravnih poruka, ali ta značajka nije djelovala. To je imalo smisla jer nije zatraženo da odobri to dopuštenje. Međutim, nakon što su se prijavili i izišli iz aplikacije i Twitter nekoliko puta, njegove izravne poruke počele su se pojavljivati u aplikaciji. Prilikom provjere popisa aplikacija koje su ovlaštene za interakciju sa svojim Twitter računom (Postavke> Aplikacije) primijetio je da je aplikacija zapravo imala dopuštenje za čitanje, pisanje i pristup izravnim porukama.
"Shvatio sam da je riječ o ogromnoj sigurnosti ", rekao je Cerrudo.
Istraživač je potvrdio da je uspješno kopirao ponašanje nekoliko puta ukidanjem pristupa aplikaciji i ponovnim postupkom autorizacije bez upozorenja da će aplikacija moći čitati njegove privatne poruke. Problem je prijavljen Twitteru 16. siječnja i upućen je u manje od 24 sata, rekao je.
"Rekli su da je problem nastao zbog složenih kodova i netočnih pretpostavki i validacija", rekao je Cerrudo na blogu.
Međutim, čini se da se popravci usluge Twitter ne primjenjuju retroaktivno. Nakon što je utvrdio problem na Twitteru, aplikacija Cerrudo testirala je da je već imao pristup računu i dalje prikazivati izravne poruke, unatoč tome što nikada nije dobio ovlaštenje od njega da to učini.Korisnici Twittera trebali bi provjeriti jesu li neke od aplikacija koje su ovlastile u prošlosti također stekle pristup njihovim izravnim porukama bez njihovog znanja, rekao je Cerrudo. To se može učiniti pregledavanjem njihovih dopuštenja na stranici Twitter Postavke> Aplikacije.
Cerrudo je odlučio objaviti ovo pitanje jer može imati ozbiljne posljedice i zato što Twitter nije objavio javni savjetnik ili obavijest o tome. Tvrtka bi trebala održavati posvećenu stranicu na kojoj može obavijestiti korisnike o sigurnosnim pitanjima, rekao je.
Twitter nije odmah odgovorio na zahtjev za komentar.
Savezni sudac o Oracle je prošle godine podnio tužbu protiv SAP-a, tvrdeći da zaposlenici TomorrowNowa, pružatelja usluga podrške trećih strana za Oracleove tvrtke Siebel, PeopleSoft i JD Edwards, priopćili su Oracle i SAP da dostave financijske prijedloge za podmirenje tužbe nad SAP-ovim podružnicom TomorrowNow. linije proizvoda, ilegalno preuzimali materijal iz Oracleovih sustava podrške i koristili ih kako bi zlostavljali Oracleove klijente.
SAP je rekao TomorrowNow radnici su napravili "neprimjereno preuzimanje" s Oracleovih web stranica, ali su odbili Oracleove tvrdnje o širem obliku zloporabe. SAP je od tada uselio zatvoriti TomorrowNow nakon što nije pronašao kupca. Oracle je tvrdio da je njegova šteta u ovom slučaju ", barem na nekoliko stotina milijuna dolara i vjerojatno najmanje milijardu dolara. "Sudac Joseph Spero je u ponedjeljak naložio Oracleu da do 13. veljače podnese" specifičnu potražnju za dolarima "i da SAP podnese
Oracle je u srijedu priopćio kako je kupio intelektualno vlasništvo tvrtke Conformia Software, proizvođač softvera za upravljanje dizajnom i razvojem lijekova. Oracle planira integrirati Conformia tehnologiju u vlastiti PLM (upravljanje životnim ciklusom proizvoda) nudeći ga, te ga povezati s drugim Oracle aplikacijama i izvorima trećih strana, objavila je tvrtka.
Iako je vjerojatno skroman, posebice u usporedbi s njegovom nedavnom ponudom za kupovinu Sun Microsystems, Oracleov najnoviji potez uklapa se u svoju veću strategiju provođenja vertikalnih tržišta u potrazi za rastom.
Novi PayPal API-ji omogućuju razvojnim programerima da izravno angažiraju kupce u vlastitim aplikacijama, a ne prisiljavaju ih na otvaranje korisnika na stvarni PayPal web site. Korisnici koji čak i ne koriste PayPal mogu se prijaviti za PayPal u aplikaciji treće strane i jednostavno početi plaćati PayPal plaćanjem unutar aplikacije trećih strana.
PayPal želi olakšati razvojnim programerima korištenje svojih platnih sustava , čini se da je PayPal neka vrsta de facto valute za web. Dio cilja otvaranja PayPala programerima je također proširiti vrste transakcija PayPal se koristi za uključivanje stvari kao što je plaćanje najamnine ili plaće zaposlenika.