Twitter erzwingt SSL-Verschlüsselung bei API-Zugriffen

Vor einem Monat hatte es Entwickler erstmals informiert. Nach einem Blackout Day gab es gestern noch eine letzte Warnung. Ab heute werden Klartext-Zugriffe abgewiesen. Für Endanwender ist schon seit 2011 der Einsatz von HTTPS verpflichtend.

Twitter hat neue Richtlinien für Entwickler eingeführt: Ab heute müssen Zugriffe auf seine Programmierschnittstellen mit TLS/SSL verschlüsselt erfolgen, sonst werden sie blockiert. Dies soll zusätzlich zur Sicherheit der Anwender beitragen.

Twitter

Die neuen Anforderungen hatte Twitter schon vor rund einem Monat kommuniziert. Letzte Woche veranstaltete es zudem einen „Blackout“-Test, der den reinen HTTP-Zugriff verhinderte und alle Entwickler noch nicht umgestellter Apps auf das Problem aufmerksam gemacht haben dürfte. Außerdem verschickte es gestern eine letzte Erinnerung.

„Verbindungen zur API mit dem SSL-Protokoll etabliert einen sicheren Kommunikationskanal zwischen unseren Servern und Ihren Anwendungen, was bedeutet, dass vertrauliche Daten nicht von Agenten, die in der Mitte der Verbindung sitzen, ausgelesen oder verändert werden können“, steht in einem Blogbeitrag vom Dezember. Bisher konnten Apps im Klartext auf die API zugreifen.

Die Verschlüsselung erzwingt Twitter nun für alle API-URLs, darunter alle Schritte des Verfahrens OAuth, um ein Auslesen fremder Passwörter zu verhindern, und die REST-API-Ressourcen sind betroffen. Für Endnutzerverbindungen im Web machte Twitter 2011 den Einsatz von SSL verpflichtend – kurz zuvor auch Google und Facebook. Im Jahr 2013 führte es zudem TSL Forward Secrecy ein.

Die zusätzliche Absicherung soll die Endanwender besser schützen und dafür sorgen, dass Hacker weniger oft in Twitter-Konten auch prominenter Firmen und Einzelpersonen eindringen, wie es die Syrian Electronic Army seit einem Jahr erfolgreich praktiziert. Sie hatte erst wieder in den letzten Wochen mindestens vier Microsoft-Konten bei Twitter entführt. Zu ihren Techniken gehört bekanntlich Spearphishing, also ein Angriff auf einzelne Nutzer per Mail. Microsoft hat bisher keine Angaben gemacht, ob tatsächlich ein Mitarbeiter auf eine präparierte Mail hereingefallen ist und einen bösartigen Link angeklickt hat.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Secure-IT, Soziale Netze, Twitter, Verschlüsselung, Webentwicklung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Twitter erzwingt SSL-Verschlüsselung bei API-Zugriffen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *