Twitter hat neue Richtlinien für Entwickler eingeführt: Ab heute müssen Zugriffe auf seine Programmierschnittstellen mit TLS/SSL verschlüsselt erfolgen, sonst werden sie blockiert. Dies soll zusätzlich zur Sicherheit der Anwender beitragen.
Die neuen Anforderungen hatte Twitter schon vor rund einem Monat kommuniziert. Letzte Woche veranstaltete es zudem einen „Blackout“-Test, der den reinen HTTP-Zugriff verhinderte und alle Entwickler noch nicht umgestellter Apps auf das Problem aufmerksam gemacht haben dürfte. Außerdem verschickte es gestern eine letzte Erinnerung.
„Verbindungen zur API mit dem SSL-Protokoll etabliert einen sicheren Kommunikationskanal zwischen unseren Servern und Ihren Anwendungen, was bedeutet, dass vertrauliche Daten nicht von Agenten, die in der Mitte der Verbindung sitzen, ausgelesen oder verändert werden können“, steht in einem Blogbeitrag vom Dezember. Bisher konnten Apps im Klartext auf die API zugreifen.
Die Verschlüsselung erzwingt Twitter nun für alle API-URLs, darunter alle Schritte des Verfahrens OAuth, um ein Auslesen fremder Passwörter zu verhindern, und die REST-API-Ressourcen sind betroffen. Für Endnutzerverbindungen im Web machte Twitter 2011 den Einsatz von SSL verpflichtend – kurz zuvor auch Google und Facebook. Im Jahr 2013 führte es zudem TSL Forward Secrecy ein.
Die zusätzliche Absicherung soll die Endanwender besser schützen und dafür sorgen, dass Hacker weniger oft in Twitter-Konten auch prominenter Firmen und Einzelpersonen eindringen, wie es die Syrian Electronic Army seit einem Jahr erfolgreich praktiziert. Sie hatte erst wieder in den letzten Wochen mindestens vier Microsoft-Konten bei Twitter entführt. Zu ihren Techniken gehört bekanntlich Spearphishing, also ein Angriff auf einzelne Nutzer per Mail. Microsoft hat bisher keine Angaben gemacht, ob tatsächlich ein Mitarbeiter auf eine präparierte Mail hereingefallen ist und einen bösartigen Link angeklickt hat.
[mit Material von Liam Tung, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…