Adios a dar la contraseña de Twitter a aplicaciones, el 16 de Agosto

El 16 de Agosto es el último día en el que una aplicación externa a Twitter use el nombre de usuario y contraseña para poder funcionar. Todas tendrán que estar autorizadas con Twitter Oauth para poder funcionar.

La fecha de finalización del plazo iba a ser inminente, pero Twitter ha retrasado esta fecha para que se pase el Mundial de Fútbol y vuelvan un poco más a la calma el número de tweets que se envían diariamente, y que está provocando bastantes problemas en Twitter por su éxito.

Desde poco después del lanzamiento de Twitter Oauth, dejamos de publicar post sobre aplicaciones que pedían usuario y contraseña, ha pasado mucho tiempo hasta que Twitter por fin abandona definitivamente esta forma de autorización.

Hay muchas aplicaciones que llevan mucho tiempo, tienen millones de usuarios, y cuya validación estaba con el método anterior. Para aquellas de confianza, Twitter ha implementado un método que permite que se autoricen en Twitter Oauth para estos usuarios, algo que es transparente para el usuario y total que ya les habíamos dado el visto bueno al darles nuestra contraseña. Queda en el aire que os confirme si para ciertas aplicaciones concretas se les dará permiso para seguir validando usuarios con nombre y contraseña, o por contra deberán validarse con Oauth, como me explica @aartiles24 en entornos móviles no es tan sencillo que un usuario valide  la aplicación en Twitter Oauth.

Relacionado con lo anterior, desde luego el cambio de facilitar la contraseña a usar únicamente Twitter Oauth da más seguridad, pero es mejorable: daría mucha más seguridad si en Twitter Oauth dotase de niveles de permisos a las aplicaciones más concretos, actualmente hay únicamente dos que se activan a la vez al aprobar una aplicación: lectura y escritura, lo cual en la práctica significa que pueden hacer aplicaciones autorizadas con nuestra cuenta lo que les de la gana, como escribir tweets, dejar de seguir a usuarios, enviar mensajes privados automáticamente… deberíamos poder limitar lo que muchas aplicaciones pueden y no pueden hacer.

Twitter necesitaría niveles autorización aplicaciones

He aquí una reflexión personal sobre algo que considero necesita Twitter, y quizá con más urgencia que muchos desarrollos que tiene en marcha: niveles de permisos para aplicaciones autorizadas con Twitter Oauth.

Twitter dio un paso de gigante con Oauth, el sistema de autorización de aplicaciones que evitaba tener que ceder nuestra preciada contraseña. Sin embargo, una vez que decimos que sí a una aplicación, tiene a su merced muchas funcionalidades de nuestras cuenta de Twitter, cosas inocentes como enviar tweets, u otras más serias como seguir a gente, dejar de seguir, enviar DMs, etc.

HInternet - Good Or Bad?ace no demasiado, y no sé con qué aplicación pero desde luego no era lo que yo quería, por cierta aplicación dejé de seguir involuntariamente y automáticamente a gente que considero muy importante y es de la que más valoro entre mis followings, y de la misma forma, se me agregaban automáticamente followings no solicitados. Desde luego, probablemente no leí todas las instrucciones de esa aplicación e hizo lo que estaba previsto (con lo cual buena parte de la culpa es mía) pero en ningún momento pensé que hiciera eso. Podría haber sido bastante más grave, tanto por mala documentación, un fallo de programación, o incluso malintencionadamente, no fue el caso pero puede pasar con cualquier aplicación.

Muchas aplicaciones al usarlas autorizando con Twitter Oauth, envían un tweet sin que te des cuenta (últimamente las que he probado suelen pedir permiso) y algo más serio que tengo la sensación que está pasando, pero no tengo confirmación concreta: algunas podrían estar enviando DMs no solicitados ni mucho menos que queramos que se envíen desde nuestra cuenta.

Hay además muchas aplicaciones que no necesitan ni mucho menos Twitter Oauth para funcionar porque recaban datos externos, y sin embargo solicitan esta autorización para poder ser utilizada, algo que entiendo relativamente, y que lo que más me dan es desconfianza. Twitter Oauth es mejor que dar la contraseña, pero tal y como está preparado, tampoco se trata de darle autorización a cualquier aplicación.

¿Qué pienso que sería lo idóneo? establecer niveles de autorización dentro de Twitter Oauth, y que no sólo autoricemos una aplicación, sino que establezcamos niveles de permisos. Por ejemplo, acceso a mensajes privados, poder enviar tweets, poder hacer unfollow o follow a otras cuentas de Twitter…. con esto, será mucho más seguro autorizar aplicaciones externas.

Otra alternativa es la que plantea Alfredo Artiles, muy buena y que creo debería ser complementaria, es su idea de socialización de la seguridad en Twitter.

Si te interesa la seguridad en Twitter, hace poco más de un mes publicamos un post con Consejos de Seguridad al usar Twitter.