Twitter, informe de seguridad de Inteco

informe seguridad twitter inteco

El Inteco ha publicado este informe de seguridad sobre Twitter, analizándolo en diferentes ámbitos.

Extenso y completo.

Como resumen apuntan lo siguiente:

Tras analizar las características de seguridad de los clientes de Twitter más utilizados se pueden extraer las siguientes conclusiones:
•El uso de OAuth no está extendido, pero es de esperar que se adopte tarde o temprano, dada la intención de Twitter de eliminar el soporte para la autenticación básica [2]. Este mecanismo tiene ventajas importantes en cuanto a seguridad, y creemos que a pesar de su aparente mayor complejidad, una vez que su uso esté popularizado y existan librerías funcionales para la mayoría de lenguajes, todos los clientes terminarán por migrar a esta solución, para el beneficio de los usuarios.
•Aunque se utilice autenticación básica, la mayoría de clientes utilizan conexiones cifradas de tal forma que el usuario está protegido frente a robo de credenciales y secuestros de sesión.
•No obstante, aunque exista protección ante ataques de terceros, se siguen confiando las credenciales de acceso a una aplicación de la que muchas veces no se puede determinar su nivel de seguridad o su legitimidad.
Teniendo estos puntos en cuenta, desde INTECO sugerimos las siguientes recomendaciones:
•Los usuarios deben comprobar las características de seguridad de los clientes, buscando un compromiso entre funcionalidad y nivel de seguridad deseado, dando preferencia a aquellos clientes que utilicen OAuth y cifren las comunicaciones.
•Los desarrolladores de aplicaciones deben conocer y seguir en la medida de lo posible las recomendaciones de Twitter [2], que se pueden resumir en utilizar OAuth para la autenticación y sobre todo cifrar las comunicaciones para cualquier acceso que requiera autorización.
•Por parte de Twitter existen posibles medidas a tomar para mejorar la seguridad: ofrecer a los usuarios utilizar SSL para todas las peticiones como una opción de configuración de la cuenta (tal y como hace Google en Gmail), de tal forma que si se activa, automáticamente redirige tus peticiones al sitio HTTPS.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.