Twitter et l'insécurité: cinq de ses plus parlé de la vulnérabilité

Hier encore, nous vivons à une époque turbulente sur Twitter - l'une des étoiles de services du réseau de réseau - en raison d'un manquement grave de la sécurité plutôt (à la fois simple) qui a permis d'injecter du code JavaScript dans les tweets, Merci à qui pourrait faire toutes sortes de mal (heureusement ne s'est pas produit rien de bien grave comme une infection massive de malware ou autre).

«Bon, ces choses arrivent" Certains pensent. En effet, il est tout à fait normal pour un service de réseau ou le programme a des failles de sécurité, mais Twitter a depuis longtemps dépassé la limite de l'acceptable en matière de sécurité, et avec faits à l'appui de cette critique - que d'abord peut paraître trop sévère - il ya cinq de la sécurité des défauts plus célèbre (pour les infractions graves ou curieux) Twitter a souffert dans la dernière année et demie.

• Livrer des messages directs " à tum tum "que cela puisse paraître. A plusieurs reprises, des messages Twitter directement livrées à des destinataires qui ne correspond pas. Heureusement, je n'ai jamais été personnellement, mais d'autres, qui n'ont évidemment pas leur faire aucune grâce.

• Le XSS par David Naylor : ce bug est assez parlé et maintenant vous allez comprendre pourquoi. Il s'avère que David Naylor découvert une vulnérabilité dans Twitter type cross-site scripting et muté à Twitter. Rien d'inhabituel ici. La chose dérape un peu lorsque le réseau social a déclaré qu'il avait pris des dispositions mais n'a pas, la vulnérabilité existe encore parce que la solution mise en œuvre par Twitter a été un gâchis.

• Qu'est-ce que vous me suivez pas? Eh bien, si je ne : sans doute ce cas, le recodéis presque tout le monde. Pour le mois de mai, un fan d'utilisateur Twitter Accepter groupe de rock a écrit un tweet dans votre zone de texte la mention "pwnz accepter." La surprise est venue quand il a donné d'envoyer et de recevoir à la place du tweet en timiline noter que nom d'utilisateur @ pwnz démarré automatiquement le suivant. Oui, il venait de découvrir un bug qui permettait à quiconque de forcer la comparution de son utilisateur entre les partisans d'une autre.

• Est-ce seulement 140 caractères? : il est bien connu que Twitter permet à un maximum de 140 caractères utilisés sur chaque tweet. Eh bien, réseau social de microblogging août de cette tweet est peuplé de plus suffisant. Qu'est-il arrivé? Comme d'habitude, que l'utilisateur a découvert un bug dans le raccourcissement d'URL par le biais de nouvelles que vous pourriez écrire des messages de plus de 2.000 caractères.

• Plus XSS et le raccourcissement d'URL : Plusieurs bugs XSS ont été trouvés dans Twitter pour autant que nous l'avons vu, et le dernier venu ce Septembre. Plus précisément, la décision a permis de voler les cookies d'environ 117 000 utilisateurs piqué un lien raccourci avec bit.ly qui, apparemment, semblait légitime.

Cela dit, je tiens à préciser deux choses avant la demi-finale. D'une part, je suis pleinement conscient que Twitter est un service gratuit, mais je pense que ce n'est pas une justification pour que, comme cela a été démontré que tant et de si graves failles de sécurité. D'autre part l'objectif principal de ce post est bien moins préjudiciable à Twitter, mais autrement, les souvenirs de rafraîchissement pour le niveau de la critique constructive (et lire ce que constructive en grandes lettres), qui doit tant de services, ne faiblit pas.

Twitter et l'insécurité: cinq de ses plus parlé de vulnérabilités par écrit ALT1040 Septembre 22 2010 en Elijah Notaire
Envoyer à Twitter | Partager sur Facebook