Seit 31.08.2010 werden uns in vielen Bereichen die Updates für Twitter Applikationen und Services nur so um die Ohren gehauen. Viele Entwickler haben die von Twitter angekündigte Umstellung auf das OAuth-Verfahren schlichtweg verpennt und so wird nun überall daran gearbeitet, die Applikationen wieder zum Laufen zu bekommen.

Während die Umstellung für “die alten Hasen” lediglich etwas mehr Arbeitet bedeutet, dürften sich aber gerade unerfahrene Entwickler sicherlich etwas mehr über diese Umstellung ärgern, denn wenn man noch nie mit OAuth gearbeitet hat, bedeutet die Implementierung doch einen gewissen Lernaufwand.

Zwar bietet die Entwickler Dokumentation von Twitter zu diesem Thema einiges an Lesestoff und natürlich soll mit OAuth alles besser und sicherer werden, doch ist das wirklich so? Wurde wirklich wie vom Unternehmen angekündigt, dass alte Basic Auth Verfahren zum 31.08.2010 vollständig abgestellt?

Nein, wie wir heute wissen, denn während Twitter die externen Entwickler knallhart zum Umstieg zwingt, hat man sich für die eigenen Applikationen ein kleines Hintertürchen in der API offen gelassen. Ihr glaubt es nicht? Probiert es einfach aus!

Durch Anfügen des einfachen Parameters ?source=twitterandroid könnt Ihr den gesamten OAuth Schnick-Schnack aushebeln und weiterhin über Basic Auth auf die API zugreifen. Ihr wollt einen Beweis? Kein Problem…

Request:
http://api.twitter.com/1/statuses/mentions.xml

Request:
http://api.twitter.com/1/statuses/mentions.xml?source=twitterandroid

Natürlich habe ich keine Ahnung, wie lange diese Tür noch offen bleibt, doch vielleicht hilft dieser Beitrag dem ein oder anderen ja zumindest als Workaround, bis er sich selbst in OAuth eingearbeitet und seine Applikation aktualisiert hat.

Vielen Dank hier auch nochmals an @zimmermann, der uns per E-Mail auf dieses Türchen in der API aufmerksam gemacht hat.

Als ich gestern zufällig auf der Seite eines regionalen Sportmarktes herumsurfte, durfte ich wieder mit erschrecken feststellen, wie leicht es für manche Angreifer ist, die Datenbank-Zugangsdaten des Betreibers zu ermitteln.

Die betroffene Seite basierte auf einer typischen Joomala-Installation, die natürlich nicht regelmäßig vom Administrator aktualisiert wurde und so standen dem Angreifer die Türen natürlich extrem weit offen. Ich kann jetzt natürlich nicht sagen, über welche Lücke das System genau gehackt wurde, aber die Tatsache verleitete mich mal wieder dazu, ein wenig über die Sicherheit von easyLink V3 nachzudenken.

Aktuell sind mir persönlich keine Sicherheitslücken in der Software bekannt, aber das bedeutet auf der einen Seite jetzt nicht, dass die Software zu 100% sicher ist und auf der anderen Seite bedeutet es auch nicht, dass es keinen Grund für euch gibt möglichen potenziellen Angreifern das Leben nicht schon im Vorfeld schwerer zu machen.

mehr…