Lipiec będzie miesiącem dziur w Twitterze

Lipiec będzie miesiącem dziur w Twitterze

16.06.2009 15:22, aktual.: 16.06.2009 15:41

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Specjalista od zabezpieczeń Aviv Raff ogłosił lipiec miesiącem dziur w Twitterze (Month of Twitter Bugs, MoTB), podczas którego każdego dnia zamierza publikować szczegóły jednego słabego punktu lub miejsca podatnego na wykorzystanie przez API Twittera.

Interfejs programisty tej usługi pozwala między innymi na konfigurację, zarządzanie i sprawdzanie statusów własnego konta za pomocą wywołań HTTP. Raff niedawno informował o możliwości wykorzystania odpytywania API przez usługę zdjęć w Twitterze Twitpic.com do rozprzestrzeniania się robaków. Mówiąc ściślej, chodzi tu nie tyle o luki w samym API Twittera, ale o lekkomyślne lub nieprawidłowe zaimplementowanie wywołań API w innych serwisach.

Raff, jak sam deklaruje, znalazł wystarczająco dużo problemów z zabezpieczeniami w serwisach innych firm, które używają API Twittera, aby zapełnić nimi cały miesiąc. Specjalista wciąż jednak chętnie przyjmuje kolejne informacje o ewentualnych błędach. Dzięki swojej akcji Raff chce wyczulić użytkowników na potencjalne problemy związane ze stosowaniem API Twittera w szczególności i innych API serwisów Web 2.0. Jako że wszystkie ujawniane przez niego luki w zabezpieczeniach mogą być wykorzystane do rozpowszechniania twitterowych robaków, Raff zamierza informować poszczególne serwisy o każdej luce z 24-godzinnym wyprzedzeniem przed powszechną publikacją informacji o błędzie. Wielu obserwatorów zapewne zastanawia się, czy te ramy czasowe wystarczą do usunięcia luk we wszystkich wskazanych przez niego przypadkach. Miesiąc dziur w Twitterze to kolejna taka kampania; wcześniej Raff przeprowadził kampanie Month of Browser Bugs, Month of Apple Bugs, Month of PHP Bugs i Month of Kernel Bugs. Zapowiadany Month of Java
Bugs okazał się primaaprilisowym żartem – jedynym na razie…

wydanie internetowe www.heise-online.pl

Komentarze (1)