Вверх

Реклама

Статистика

Яндекс.Метрика

Кто на сайте

Сейчас 56 гостей и ни одного зарегистрированного пользователя на сайте

В Twitter исправлена уязвимость, позволявшая третьим сторонам читать чужие личные сообщения

ИБ-специалист Теренс Иден (Terence Eden) получил от Twitter 2940 долларов США по программе вознаграждения за обнаруженные уязвимости. Исследователь обнаружил, что некоторые приложения могли читать личные сообщения пользователей Twitter, о чем социальная сеть не предупреждала.

Иден рассказывает, что корень проблемы заключался в том, что ключи и секреты для официального Twitter API утекли и довольно давно доступны публично. То есть разработчики в теории имеют возможность обращаться к API без одобрения сервиса.

Чтобы подобного не происходило, и никто не выдавал себя за официальные приложения, инженеры Twitter предусмотрели ряд ограничений. Например, одним из методов является использование callback URL, то есть после успешного входа приложение может использовать только заранее определенный URL.

Однако не все приложения работают с URL и поддерживают callback’и. Для таких случаев разработчики Twitter предусмотрели альтернативу: использование специальных PIN-кодов. «Вы логинитесь, вам предоставляют PIN, вы вводите его в приложение», — объясняет исследователь.

Иден обнаружил, что в таких случаях пользователям по какой-то причине показывают некорректную информацию OAuth. Так, пользователям соображают, что приложение не сможет получить доступ к их личным сообщениям, хотя на самом деле это не так, и доступ у приложения есть.

Исследователь сообщил о баге еще 6 ноября 2018 года, и 6 декабря 2018 года проблема была исправлена.

Популярные видеобзоры

Обзор звуковой карты PCI-E CREATIVE Audigy RX, 7.1

 

Уважаемые читатели!

Мастерская Тардис предлагает вашему внимаю обзор звуковой карты CREATIVE Audigy RX 7.1, на которую вынуждены были заменить аудиокарту SB Creative Live! 5.1 Digital PCI SB0220, по причине отсутствия драйверов под OS Windows7 и некоректной работы пакета k-daniel, а также представлены результаты ее тестирования с помощью специальной программы Панель управления Sound Blaster Audigy 5/Rx и активной акустической системы Edifier .

CreativeAudiocard

Подробнее...

Обзор League of Legends PowerBank

HP 12ac150ur

На сколько бесплатным бывает сыр в мышеловке? Сейчас в интернете можно найти огромное количество одних и тех же устройств по совершенно разным ценам, от бросовых до заоблачных. Есть даже возможность получить те или иные устройства совершенно бесплатно участвуя во всевозможных рекламных конкурсах и акциях. Как раз о там на сколько вкусным бывает бесплатный сыр мы и хотим рассказать.

Подробнее...

Заказ обратного звонка

Перезвоним через 30 секунд.