O Twitter, após algumas semanas de teste, implementou o Content Security Policy (CSP) – um novo padrão desenvolvido pela Mozilla para bloquear cross site scripting (XSS), que abordamos recentemente no SegInfo – em seu site mobile. O funcionamento do CSP é bastante simples: “Em um ataque XSS típico, o atacante injeta código javascript arbitrário em… Read More
Twitter adiciona opção de usar sempre HTTPS
Devido à crescente preocupação com o roubo de senhas e outros dados sensíveis através de redes Wi-Fi inseguras, o Twitter acaba de adicionar ao seu serviço a capacidade de sempre usar conexões encriptadas. O protocolo HTTPS reduz a chance de usuários maliciosos interceptarem e roubarem os dados que você envia para o site que está… Read More
Spammers estão trocando emails por mídias sociais para enviar spam – o resultado pode ser ainda pior
Nos últimos três meses, foi registrada uma diminuição na quantidade de spam enviado. Analisada isoladamente, é uma notícia boa. Entretanto, o cenário geral pode ser pior: especialistas de segurança acreditam que os spammers estão deixando um pouco de lado os emails e focando mais em mídias sociais. Eles estão adotando uma estratégia mais agressiva de… Read More
Palestra sobre segurança no Twitter
Na sequência do post de ontem da palestra sobre testes de segurança em aplicações web, trazemos hoje mais uma palestra da conferência OWASP AppSec USA 2010: The Dark Side of Twitter, de Paul Judge, CRO da Barracuda Networks. A palestra fala sobre como medir e analisar atividades maliciosas no twitter, identificando usuários maliciosos e seus… Read More
Lista de Profissionais de Segurança da Informação no Twitter, em português
O autor do blog AnchisesLandia publica uma lista com profissionais de segurança da informação. A lista é atualizada periodicamente e já conta com mais de 200 endereços de pessoas e empresas relacionadas à segurança da informação, todos lusófonos – brasileiros e portugueses. Veja a lista completa em AnchisesLandia- Brazilian Security Blogger: [Segurança] Mais de 200!… Read More
Exploit XSS no Twitter
Ontem, no feriado do 7 de setembro, um exploit XSS foi disseminado no Twitter. O ataque, que se aproveitou de uma falha no servidor de desenvolvimento do Twitter, utilizou-se da fama da banda Restart: “Pe Lanza da banda Restart sofre acidente tragico” (sic). O link do exploit, mascarado por um encurtador de URLs (bit.ly), revela… Read More
Problemas de segurança com o novo sistema de autenticação do Twitter utilizando OAuth
O Ars Technica publicou um excelente artigo de Ryan Paul, criador do Gwibber, sobre os problemas de segurança atuais da nova implementação de autenticação do Twitter utilizando OAuth, bem como os problemas em potencial com plataformas de software livre. Confira o artigo na íntegra no site do Ars Technica: Compromising Twitter’s OAuth security system. Foto:… Read More
Twitter planeja gravar todos os links clicados
Num e-mail enviado ontem à noite (01/09) a todos os usuários da rede, o Twitter revelou que iria “em breve” passar a utilizar a URL t.co para encurtar os links compartilhados pelos usuários da rede, substituindo outros serviços comumente utilizados (tais como o tinyurl.com e o bit.ly). Isso já havia sido anunciado desde dezembro do… Read More
Twitter muda o modelo de login, aumentando a segurança
O sistema de microblogging Twitter completou ontem (31/08) uma mudança que visa aumentar a segurança dos usuários. Aplicativos de terceiros agora foram bloqueados de utilizar a rede utilizando credenciais simples (usuário e senha) fornecidas pelos usuários; a partir de agora, apenas aplicações usando o protocolo OAuth serão autorizadas. Utilizando o OAuth, o usuário precisa explicitamente… Read More
Twitter com problemas no certificado digital
O Twitter apresentou problemas ontem e hoje, supostamente, no certificado digital. Apesar de o certificado (que expiraria ontem) ter sido recentemente renovado até o dia 15 de agosto de 2010, uma série de aplicações que dependiam do subdomínio api.twitter.com (utilizado por serviços de terceiros como o por exemplo o Tweetdeck) apresentaram problemas e essas aplicações não… Read More