Estudio acerca de la seguridad en la autenticación de clientes Twitter


INTECO-CERT ha elaborado un informe en el que se aborda el nivel de seguridad de la comunicación entre los clientes utilizados por los usuarios y el servicio central de difusión.de la conocida red social Twitter. En este informe se analizan los clientes más comunes de cada una de las plataformas desde las que podemos acceder al servicio.





El objetivo de este estudio es hacer una revisión de la seguridad de estos clientes, para los que se ha comprobado los aspectos de autenticación, y cifrado que tienen lugar durante la comunicación entre cliente y servidor, además del almacenamiento de contraseñas con los que evaluar si el rápido crecimiento de la plataforma ha provocado que la seguridad se haya relegado a un segundo plano, suponiendo un riesgo de suplantación de identidad para los usuarios de estos clientes.

Para el estudio se han utilizado los clientes más representativos de diferentes plataformas: Windows, Linux, MacOS, iPhone, Android y Blackberry. Se ha tratado de abarcar el mayor número de plataformas, y dentro de éstas las aplicaciones más utilizadas.

Del análisis se concluye que:

La mayoría de los clientes no usan la autenticación más avanzada que ofrece Twitter (OAuth), aunque se espera que aumente el uso de este sistema.
Aunque se use la autenticación básica, la mayoría de los clientes cifran la comunicación, lo que aporta seguridad ante el robo de credenciales.
Se confían las credenciales de acceso a un programa que muchas veces no conocemos su legitimidad ni seguridad.

Con lo expuesto, desde INTECO-CERT realizamos las siguientes recomendaciones:

Los usuarios deben buscar un compromiso entre seguridad y funcionalidad en el cliente Twitter, pero debemos inclinarnos por autenticación OAuth y cifrado de la comunicación.
Los desarrolladores deben conocer y seguir las indicaciones de seguridad de Twitter en el sentido de utilizar OAuth y comunicaciones cifradas.
Por parte de Twitter una posible medida para incrementar la seguridad podría ser utilizar SSL en las peticiones, como opción de configuración en la cuenta.

Informe en español (pdf) y también está disponible una versión en inglés (pdf) del informe.

Fuente:
http://cert.inteco.es



Otras noticias de interés:

¿Están a salvo nuestros datos en internet?
Cada día más y más personas usan Internet y van dejando un rastro de información personal que almacenan en distintos servicios en la red. Al comprar en línea, abrir una cuenta en una red social, o jugar video-juegos, las personas tienen que regi...
Xombra´s Team
Muchos se preguntarán: ¿Quién es Xombra?.. ¿Que es el Xombra´s Team?... ¿Hay más gente detrás de este portal?. Tomándonos un poco de tiempo, para satisfacer la curiosidad de más de uno de nuestro fieles usuarios, hemos hecho ...
La CCE decidirá voto Chileno por OOXML!!
En el Acta N1 del Comité Espejo coordinado conjuntamente por el INN y la CCE para analizar y discutir en torno a la homologación del estándar ECMA 376 como norma ISO 29500, se ha acordado que el INN delega las funciones de la Secretaría Técnica ...
Gana dinero con tú correo electronico.
Nota de Xombra: Aún cuando este site no permitirá en el futuro postear este tipo de mensajes , dejamos presentar este por ser el primero y para que el usuario no perdierá el tiempo que uso en colocarlo. Si quieres ganar dine...
La geolocalización amenaza la privacidad
Los usuarios de teléfonos inteligentes están asumiendo, sin saberlo, el riesgo de ofrecer información de su vida cotidiana. Las cámaras de los smartphones que contienen la tecnología GPS de localización en el interior ya están equipadas con el...
Listo para Descarga Puppy Linux 4.3
Los responsables de la distribución australiana GNU/Linux Puppy Linux han publicado la versión final 4.3 de la misma. Una versión minimalista en formato LiveCD, autoejecutable sin necesidad de instalación a unidades de almacenamiento, especializa...
AOL prepara la liquidación de Netscape
Fue MozillaNews quien en primer lugar lanzó la información al aire, ahora casi todo el mundo lo da ya por hecho. En un articulo aparecido en MozillaNes apareció un articulo sobre el futuro del Netscape Navigator, del propio Mozilla y del...
Lorentz, la próxima actualización de Firefox, podría ser pequeña
Mozilla no se toma ningún descanso en estas fechas, y su equipo todavía está trabajando para definir finalmente el mapa de ruta de este año....
Python en Google
Un usuario comenta en su blog la presentación de Greg Stein, ingeniero administrador del grupo Open Source de Google, en la reciente SDForum Python Meeting: En Google, Python es uno de 3 "lenguajes oficiales", junto con C++ ...
Publicada lista con los 25 errores de código más peligrosos
La mayoría de las vulnerabilidades que los hackers aprovechan para atacar sitios Web y servidores corporativos son generalmente el resultado de errores de programación comunes y bien conocidos. Para paliar este problema, un grupo de compañías ha ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • acerca
  • anonimato
  • anonimo
  • antivirus
  • apache
  • autenticacion
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • clientes
  • computer
  • debian
  • estudio
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • twitter
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra