Twitter mejora seguridad usuarios que usan aplicaciones

Twitter va a realizar de aquí a un mes cambios en el sistema de permisos (el sistema que permite que aplicaciones como por ejemplo TweetDeck, HootSuite, Twitterfeed….) para dar más información y restringir el acceso a muchas de estas aplicaciones a nuestros mensajes privados.

En el post donde explican el cambio no lo dejan claro del todo cómo va a ser el proceso y si podremos elegir dar permisos de acceso a mensajes privados a cualquier aplicación o habrá algunas vedadas de antemano, pero este cambio es sin lugar a dudas un paso muy importante, sobre todo para prevenir las aplicaciones que usan técnicas parecidas a los virus informáticos para divulgarse.

Hay muchas aplicaciones, como las de Mafia o incluso algunas de spam directo que mandan sin consentimiento del usuario mensajes directos a sus seguidores. Con el cambio, Twitter indica que de aquí a final de mes sólo aquellas aplicaciones que realmente necesiten acceso a los mensajes privados lo tendrán, aunque tenemos que esperar a ver cómo es el proceso exactamente, si ellos ya han restringido acceso a estas aplicaciones, o bien tendremos que reautorizar permisos uno a uno.

El cambio es interesante, aunque podría hacerse mucho mejor, dando a cada aplicación el tipo de permiso que realmente precisa: leer timeline, escribir en nuestro timeline, mencionar usuarios, seguir, dejar de seguir, enviar o leer mensajes privados, marcar como favorito, retweet, geolocalización… algo que en cierta forma ya hacen otros como por ejemplo Facebook. No es la primera vez que lo menciono aquí. Las aplicaciones, a la hora de su diseño, tenían dos formas de pedir: acceso sólo lectura o también escritura. Pero el usuario no decidía si le daba permisos de escritura o no. Ahora por lo menos parece que los mensajes directos estarán más seguros.

Cuando vayamos a dar permisos a una aplicación, Twitter nos explicará qué es lo que esta aplicación puede hacer y qué no puede hacer. Esto es quizá insuficiente si se queda en la mera explicación.

La amplia mayoría de aplicaciones para Twitter no precisan acceso a los mensajes directos, incluso muchas no necesitan permiso para escribir tweets. Y sin embargo, hasta que estos cambios se apliquen, al dar permiso a una aplicación le estamos dejando acceso completo a nuestra cuenta.

A pesar de los cambios, siempre hay que confiar únicamente en aplicaciones de Twitter de confianza. Si te llega un DM o una mención de alguien y no conoces la aplicación, es mejor preguntar a alguien que pueda saber que lamentar.

via: blog de Twitter

Twitter.com más seguro: https opcional

Entrar en twitter.com será más seguro si utilizamos la opción de forzar el acceso a través de https o servidor seguro. Se hace desde las opciones, Configuración > cuenta y la opción que véis más abajo.

twitter - opción https

Sobre todo cuando utilizamos wifis abiertas o conexiones a Internet con dudas sobre su seguridad, hasta ahora si no tenías cuidado y utilizabas algunas herramientas como plugins concretos para Firefox, el acceso a la web de Twitter no era del todo segura. Una persona con conocimientos medios (gracias sobre todo a un plugin para Firefox que salió que facilitaba mucho el asunto) puede estar “escuchando” lo que reciben otras personas en wifis que no requieren contraseña y recibir datos como por ejemplo las cookies que envían muchas páginas que permiten que se entren a participar identificados en ellas. Con el forzado a conexión segura (identificable porque en las direcciones web pone https y no http) la información se envía siempre cifrada, con lo cual la seguridad aumenta considerablemente.

Un pequeño gran paso en la seguridad de Twitter. Si os interesa este asunto (debería), hicimos un post sobre Consejos de Seguridad en Twitter.

via: blog de Twitter

Twitter necesitaría niveles autorización aplicaciones

He aquí una reflexión personal sobre algo que considero necesita Twitter, y quizá con más urgencia que muchos desarrollos que tiene en marcha: niveles de permisos para aplicaciones autorizadas con Twitter Oauth.

Twitter dio un paso de gigante con Oauth, el sistema de autorización de aplicaciones que evitaba tener que ceder nuestra preciada contraseña. Sin embargo, una vez que decimos que sí a una aplicación, tiene a su merced muchas funcionalidades de nuestras cuenta de Twitter, cosas inocentes como enviar tweets, u otras más serias como seguir a gente, dejar de seguir, enviar DMs, etc.

HInternet - Good Or Bad?ace no demasiado, y no sé con qué aplicación pero desde luego no era lo que yo quería, por cierta aplicación dejé de seguir involuntariamente y automáticamente a gente que considero muy importante y es de la que más valoro entre mis followings, y de la misma forma, se me agregaban automáticamente followings no solicitados. Desde luego, probablemente no leí todas las instrucciones de esa aplicación e hizo lo que estaba previsto (con lo cual buena parte de la culpa es mía) pero en ningún momento pensé que hiciera eso. Podría haber sido bastante más grave, tanto por mala documentación, un fallo de programación, o incluso malintencionadamente, no fue el caso pero puede pasar con cualquier aplicación.

Muchas aplicaciones al usarlas autorizando con Twitter Oauth, envían un tweet sin que te des cuenta (últimamente las que he probado suelen pedir permiso) y algo más serio que tengo la sensación que está pasando, pero no tengo confirmación concreta: algunas podrían estar enviando DMs no solicitados ni mucho menos que queramos que se envíen desde nuestra cuenta.

Hay además muchas aplicaciones que no necesitan ni mucho menos Twitter Oauth para funcionar porque recaban datos externos, y sin embargo solicitan esta autorización para poder ser utilizada, algo que entiendo relativamente, y que lo que más me dan es desconfianza. Twitter Oauth es mejor que dar la contraseña, pero tal y como está preparado, tampoco se trata de darle autorización a cualquier aplicación.

¿Qué pienso que sería lo idóneo? establecer niveles de autorización dentro de Twitter Oauth, y que no sólo autoricemos una aplicación, sino que establezcamos niveles de permisos. Por ejemplo, acceso a mensajes privados, poder enviar tweets, poder hacer unfollow o follow a otras cuentas de Twitter…. con esto, será mucho más seguro autorizar aplicaciones externas.

Otra alternativa es la que plantea Alfredo Artiles, muy buena y que creo debería ser complementaria, es su idea de socialización de la seguridad en Twitter.

Si te interesa la seguridad en Twitter, hace poco más de un mes publicamos un post con Consejos de Seguridad al usar Twitter.

Twitter lanza el acortador de URLs twt.tl para aumentar su seguridad

Minipost: Twitter lanza un acortador de URLs, en principio no para competir con bit.ly, tinyurl.com y similares, sino para mejorar la seguridad. Empezarán a implementarlo en los mensajes directos, y cualquier URL que sea acortada, verá incrementada su seguridad, puesto que se verificará el destino para evitar que en estos sitios haya problemas como simular ser la web de Twitter, Cross site scripting…

Twt.tl es el dominio elegido para estos enlaces.

Más información: Uberbin

via: blog de Twitter

Consejos de seguridad al usar Twitter

Hay últimamente un ataque de phising (usurpación de identidad, tras averiguar datos a través de un site que parece el auténtico) por DM y del que se está advirtiendo.

Ha pasado más veces, así que he creído oportuno hacer un artículo sobre consejos para minimizar el riesgo de tener un problema y que nos pudieran quitar o hacer mal uso de la cuenta de Twitter, hagan cosas que no hemos pedido con nuestra cuenta, o bien peligros con otras aplicaciones en Internet a través del uso de Twitter (por el XSS del que escribimos más abajo).

TWEETS, MENTIONS Y MENSAJES DIRECTOS

Hay que ser precavido con las direcciones web abreviadas, a pesar que muchas hacen esfuerzo en detectar sitios maliciosos, eso no significa que todos lo hagan o que haya alguna que se les pueda “escapar”.

Si sospechas de una dirección web abreviada, “tradúcela” / “expándela”. Si es del acortador bit.ly, entra pero añadiendo un + al final (ejemplo para la dirección abreviada http://bit.ly/9mwmsn , añadirle el símbolo + detrás: http://bit.ly/9mwmsn+ ), en el primer caso irías a la página destino a través de esta URL abreviada, y en el segundo a la información, incluyendo la dirección real de destino. Con otros sistemas de acortamiento de URLs no es tan sencillo, pero hay sitios que muestran las direcciones verdaderas, como Known URL (tenéis más en este link). Una vez sabida la dirección destino real, podrás tener más información para saber si puede ser interesante de verdad o no.

Cuidado con los @mentions con direcciones web: Si no conoces a la persona que te envía un enlace, intenta averiguar la web de destino (con la técnica anterior) sólo si tienes curiosidad por saber qué link te ha enviado.

Como en los e-mails, desconfiar si un enlace en un tweet o un DM no ha sido solicitado, lo mejor si no es solicitado es no hacer clic.

APLICACIONES PARA TWITTER

Sólo utiliza aplicaciones para Twitter que te inspiren confianza, ante la duda, se puede preguntar, buscar más información…..

No uses aplicaciones para Twitter que te pidan tu contraseña de Twitter, sino usa sólo las que usen Twitter Oauth. Twitter Oauth es un sistema de Twitter mediante el cual autorizas al uso de cierta información de tu cuenta de Twitter, pero no total. En esTwitter.com no publicamos posts desde hace ya muchos meses de aplicaciones que pidan usuario y contraseña de Twitter (con la única excepción de HootSuite que recuerde).

Cuando te salga la ventana de Twitter Oauth, asegúrate que la URL en el navegador es la de twitter.com y no una copia. Si no estabas logueado en Twitter antes de entrar en Twitter Oauth, al entrar en la pantalla de Twitter Oauth te pedirá tu usuario (o e-mail) y contraseña. Es relativamente fácil clonar el diseño de Twitter y ponerlo en otro dominio. La ruta debe empezar por http://twitter.com , si no lo hace así, desconfía y pide consejo, o lo mejor, loguéate primero desde Twitter.com y entra de nuevo en la aplicación que use Twitter Oauth.

Revisa de cuando en cuando logueados con nuestra cuenta de Twitter las Conexiones (connections) a herramientas que has autorizado mediante Twitter Oauth, y elimina los permisos de aquellas que no uses (Revoke access / Revocar acceso).

EL CROSS-SITE SCRIPTING (XSS)

El principal peligro está en el llamado Cross-Site Scripting (XSS). El XSS es que a través de fallos en navegadores, aplicaciones, etc., aplicaciones maliciosas aprovechen que estamos logueados en nuestras cuentas de correo electrónico, Twitter u otros sites para averiguar información, poner puertas de acceso, auto-reenvío de correos electrónicos a cuentas que controlen, etc. Podéis ampliar información aquí (más bien técnica).

NUEVA FUNCIÓN DE TWITTER

Twitter ha introducido recientemente una función que incrementa la seguridad de las cuentas, pero quizá no sea del todo efectiva (no lo sé técnicamente). Ahora al cambiar la configuración principal, nos pide de nuevo la contraseña de nuestro usuario de Twitter).

PARTICIPA

Este es un post participativo, rogaría que si tenéis más ideas, las pongáis en los comentarios para irlos incorporando y así aconsejar a los lectores, muchas gracias.

Fallo de seguridad XSS en Twitter

Ayer un especialista en SEO del Reino Unido detectó un fallo de seguridad en Twitter de cross-site scripting (que permitiría ejecutar JavaScripts y similares de un sitio en otro sitio). A éstas alturas, tanto Mashable como Techcrunch, que al ser dos de los blogs más populares tienen contactos directos con Twitter y les notifican las cosas de inmediato, no han actualizado sus posts diciendo que la vulnerabilidad ha sido solucionada, aunque sí comentan que se hará pronto.

En los posts se menciona que Twitter comentó que había solucionado el problema, pero en la práctica no fue así.

El fallo puede ser importante si lo intenta explotar alguien con buenos conocimientos de programación, y permitiría por ejemplo crear virus de tipo gusano en Twitter, donde cuentas se infectarían por el simple hecho de visitar un enlace publicado en un tweet.

La vulnerabilidad sólo es para quienes usamos la web de Twitter, es seguro utilizar Twitter por cualquiera de las aplicaciones que utilizan su API (siempre que ellas mismas sean de confianza, claro) y como he puesto antes, debido entre otras cosas a la repercusión que está alcanzando y que suelen alcanzar los fallos en Twitter, confío en que se solucionará muy pronto. Como recomendación, tanto con un fallo de seguridad detectado como si no hubiera ninguno, está el hecho de no visitar enlaces sospechosos.

via: techcrunch