Senhas são como roupa intima - password anti-pattern
Posted by Dirceu | Filed under oauth, password-anti-pattern, auth-layer, uncategorized
Permitir ao usuário importar uma lista de amigos de outro serviço é útil. Porém os meios precisam justificar o fim. Dar o poder para o usuário importar dados através de uma camada de autentificação como oAuth é o caminho correto para exportar dados. Por outro lado, pedir ao usuário seus e-mails e senhas de outro serviço como GMail ou Yahoo Mail é completamente inaceitável. Aqui está por que:
Isso ensina as pessoas como cair no golpe (phishing).
Enquanto não podemos proteger as pessoas delas mesmas, nós desenvolvedores temos o dever de não engana-las a pensar que jogar senhas como confete é um comportamento aceitável.
Para nós desenvolvedores essa é uma questão moral. O projeto que você está trabalhando pode não ter nenhuma intenção ruim e o próximo site pode falar que é seguro, mas ao longo do tempo estamos criando um clima propício ao cultivo de fraudes.
Será que não seguimos cegamente às ordens de clientes que procuram "agregar valor" em seus aplicativos, mesmo quando sabemos que o efeito a longo prazo é corrosivo?
Eu não acho que deveriamos. Nós podemos fazer uma escolha em ...
Twitter Phishing Attack e "Mais Followers"
Posted by Dirceu | Filed under oauth, attack, pishing, mais-followers, uncategorized
Ultimamente tenho observado uma infestação de serviços que prometem uma grande quantidade de seguidores no Twitter.
O esquema é parecido com técnicas malignas de SEO como Google Train e como não chega a atrapalhar diretamente o Twitter não é combatido pela empresa.
Alguns desses serviços utilizam oAuth como promessa de proteção. Mas, por mais que a autorização por oAuth possa ser negada depois, a aceitação inicial permite acesso e alteração dos dados do usuário.
As contas dos participantes desses esquemas estão comprometidas
Para mim está claro que os criadores desses esquemas possuem objetivos nada sinceros. Roubar senhas e acessar timelines de forma a direcionar trafego para urls maliciosas.
Assim os participantes e amigos de participantes desses esquemas estão sim com suas contas comprometidas.
Os amigos também?
Existem vários motivos para usar o perfil no modo "protegido". O mais comum é reservar a privacidade do cidadão.
Se alguém com perfil protegido autorizar um amigo a ver seus updates e esse amigo usar um "Mais Followers" os updates do usuário são expostos para no mínimo os sujeitos que criaram esse serviço.