Уязвимость в OAuth, открытом
протоколе, обеспечивающем конфиденциальность пользовательских данных во время
авторизации, вынудила ряд сайтов, таких как Twitter и Yahoo, временно отказаться
от его поддержки.

Известие о том, что Twitter отказался от поддержки OAuth, едва начав его
внедрение, вызвало у некоторых разработчиков настоящий шок. Один из них написал
на блоге, что это уже далеко не первый случай, когда данный сервис выбивает
опору из-под ног программистов.

В интересах онлайн-безопасности детального описания уязвимости в OAuth
приведено не было, известно лишь, что хакер может использовать ее для проведения
атаки с элементами социальной инженерии, заставляя пользователя выдавать данные.
Для устранения причины данной проблемы требуется вносить изменения в сам
протокол OAuth, и как нам стало известно, подобные работы ведутся уже на
протяжении недели. Команда разработчиков протокола координирует свои усилия с
использующими его онлайн-сервисами, чтобы добиться скорейшего устранения утечки.
Решение ожидается уже в самое ближайшее время.

Хотя реальных случаев атаки пока нет, особенно большое значение данный
инцидент имеет для Twitter, поскольку OAuth предохраняет его пользователей от
необходимости выдачи своих паролей при авторизации на сторонних ресурсах,
использующих аналогичные программные интерфейсы приложений, а сам Twitter во
многом зависит от сторонних модулей расширения, таких как статистические и
аналитические приложения, а также Twhirl и TweetDeck.

Один из основателей Twitter Биз Стоун в своем сообщении заявил: "Мы со всей
серьезностью относимся к вопросам безопасности и поэтому почувствовали, что
наиболее взвешенным решением в данной ситуации будет временно отключить OAuth до
выяснения всех обстоятельств дела. Выражаем всем разработчикам из состава нашей
группы бета-тестирования благодарность за их бесконечное терпение, поскольку
именно они первыми почувствовали все последствия принятого нами решения на
себе".



Оставить мнение