QR code per la pagina originale

Bacato il protocollo di autenticazione Twitter

Il protocollo di autenticazione utilizzato da Twitter è stato disabilitato temporaneamente a causa di un problema di sicurezza riscontrato ed in grado di mettere in pericolo i dati degli utenti. Il team OAuth conferma il problema e promette rapida patch

,

Il protocollo di autenticazione utilizzato da Twitter risulta essere bacato. In conseguenza delle notizie emerse nelle ultime ore Twitter ha così deciso di disabilitare il supporto di OAuth, pur lasciando gli sviluppatori impegnati sulla piattaforma senza la fondamentale componente di autenticazione: OAuth permette infatti alle applicazioni di scambiare informazioni relative a password ed altri dati in modo sicuro, permettendo così di sviluppare tutte le attività che Twitter vorrebbe veder crescere rigogliose attorno ai propri Tweet.

Dapprima si è avuta la pubblica notifica di un problema, quindi il protocollo è stato disabilitato. Trattasi di una componente esterna sulla quale Twitter non ha stretto controllo, dunque l’unica scelta possibile (operata peraltro anche da Yahoo per funzionalità similari) è stata quella del blocco temporaneo in attesa che i problemi vengano risolti. A distanza di poche ore lo stesso team OAuth confessa: «vogliamo rendervi partecipi del fatto che un problema di sicurezza nel nostro protocollo OAuth è stato riportato da CNET. Non ci sono stati exploit né oggi, né nei giorni passati».

OAuth esprime anche il proprio ringraziamento nei confronti di Twitter per aver minimizzato l’accaduto, evitando dannosa pubblicità ad un problema che a tutt’ora rimane aperto. Un comunicato esplicativo è atteso entro le prossime ore, presumibilmente in contemporanea al rilascio di una versione riveduta e corretta del protocollo. Attualmente il rischio in cui incorrerebbero gli utenti nel caso in cui OAuth fosse rimasto attivo sarebbe quello di una proliferazione di applicazioni in grado di stimolare l’utente ad una interazione tale da rende pubblici i propri dati, favorendo così frodi di vario tipo e soprattutto la sottrazione dei dati personali e dei termini di accesso al proprio account Twitter.

Un post di Biz Stone sul blog Twitter ricorda come OAuth non sia un qualcosa usato in esclusiva da Twitter: Yahoo, Netflix e Google sarebbero ognuno a modo suo sullo stesso carrozzone. Il post spiega come OAuth sia un processo in beta testing e che il team Twitter sia in costante relazione con il team degli sviluppatori del protocollo al fine di risolvere il problema e ripristinare quanto prima il servizio. Il tutto si chiude con una risposta alle polemiche che hanno circondato l’accaduto, volte a chiedere un maggior coinvolgimento degli sviluppatori in decisioni tanto pesanti per la fortuna delle loro applicazioni e le loro attività: «È importante per noi supportare l’ecosistema e gli sviluppatori che crescono attorno a Twitter. La comunicazione è una parte importante di questo supporto, ma quando è coinvolta la sicurezza occorre muoversi velocemente e responsabilmente».

La promessa è di una risoluzione del problema entro 48 ore dalla scoperta: «ci aspettiamo che il servizio venga ripristinato entro oggi migliore e più forte di prima».

Notizie su: