Twitter hat neue Richtlinien für Entwickler eingeführt: Ab heute müssen Zugriffe auf seine Programmierschnittstellen mit TLS/SSL verschlüsselt erfolgen, sonst werden sie blockiert. Dies soll zusätzlich zur Sicherheit der Anwender beitragen.
Die neuen Anforderungen hatte Twitter schon vor rund einem Monat kommuniziert. Letzte Woche veranstaltete es zudem einen „Blackout“-Test, der den reinen HTTP-Zugriff verhinderte und alle Entwickler noch nicht umgestellter Apps auf das Problem aufmerksam gemacht haben dürfte. Außerdem verschickte es gestern eine letzte Erinnerung.
„Verbindungen zur API mit dem SSL-Protokoll etabliert einen sicheren Kommunikationskanal zwischen unseren Servern und Ihren Anwendungen, was bedeutet, dass vertrauliche Daten nicht von Agenten, die in der Mitte der Verbindung sitzen, ausgelesen oder verändert werden können“, steht in einem Blogbeitrag vom Dezember. Bisher konnten Apps im Klartext auf die API zugreifen.
Die Verschlüsselung erzwingt Twitter nun für alle API-URLs, darunter alle Schritte des Verfahrens OAuth, um ein Auslesen fremder Passwörter zu verhindern, und die REST-API-Ressourcen sind betroffen. Für Endnutzerverbindungen im Web machte Twitter 2011 den Einsatz von SSL verpflichtend – kurz zuvor auch Google und Facebook. Im Jahr 2013 führte es zudem TSL Forward Secrecy ein.
Die zusätzliche Absicherung soll die Endanwender besser schützen und dafür sorgen, dass Hacker weniger oft in Twitter-Konten auch prominenter Firmen und Einzelpersonen eindringen, wie es die Syrian Electronic Army seit einem Jahr erfolgreich praktiziert. Sie hatte erst wieder in den letzten Wochen mindestens vier Microsoft-Konten bei Twitter entführt. Zu ihren Techniken gehört bekanntlich Spearphishing, also ein Angriff auf einzelne Nutzer per Mail. Microsoft hat bisher keine Angaben gemacht, ob tatsächlich ein Mitarbeiter auf eine präparierte Mail hereingefallen ist und einen bösartigen Link angeklickt hat.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
