No des tu contraseña de Twitter a otros servicios

Sacha Fuentes 24 de noviembre de 2008 2 comentarios

Ya hemos hablado en Genbeta alguna vez de los problemas de dar la contraseña de nuestros servicios a otros sitios y el mal uso que pueden hacer de ella en caso que lo hagamos.

Recientemente han aparecido bastante servicios que funcionan sobre Twitter y que nos habilitan funciones que el sitio original no permite, como puede ser publicar en dos cuentas al mismo tiempo. Tal como funciona Twitter, en este momento es imprescindible dar nuestro usuario y contraseña a esos servicios para que funcionen correctamente.

El problema es que una vez se lo hemos dado puede resultar imposible recuperar el control sobre nuestra cuenta, al menos hasta que desde Twitter modifiquen el control de acceso que tienen ahora, basado en cookies. Cuando accedemos a la página (o cuando lo hace uno de esos servicios) y nos identificamos con el usuario y la contraseña, Twitter devuelve una cookie que podemos usar a partir de ese momento.

Pero esa cookie tiene un tiempo de caducidad muy largo y el problema principal es que no se invalida al cambiar la contraseña. Por tanto, mientras disponga de la cookie, el servicio puede seguir accediendo a nuestra cuenta de Twitter.

Aun peor, si la aplicación es realmente maliciosa podría incluso dejarnos sin cuenta. Solo tendría que cambiar la dirección de correo con la que estamos registrados en el servicio y pedir un reseteo de contraseña, activando la nueva al recibir ese correo.

Lo ideal sería que Twitter ofreciera una API que funcionara mediante claves que solo sirvieran para eso y no para acceder también desde la página web. Mientras tanto, la solución recomendada sigue siendo no dar nuestra contraseña a ningún servicio externo.

Vía | Brian Shaler.

1 voto
¿Recomendarías este post?
Más noticias sobre: Web, Seguridad
Tags: twitter

Comentarios

Deja tu comentario

Escribir un comentario

Nos encantaría conocer tu opinión. Por favor, procura que tus comentarios estén relacionados con esta entrada. Intenta también no insultar ni usar palabrotas, respeta a los demás lectores de este blog. Los comentarios off-topic, burdamente promocionales, ofensivos o ilegales serán borrados sin piedad.

Puedes usar algo de HTML:

<a href>, <strong>, <blockquote>, <br />, <p>, <em>, <ul>, <li>. Los párrafos y los retornos de línea también se incluyen automáticamente.

Vista previa del comentario

¿No tienes cuenta OpenID?

OpenID

Este blog utiliza OpenID para la identificación de usuarios. OpenID es un sistema que te permite, con un sólo registro, identificarte en todos aquellas webs que lo soporten. Para la identificación se utiliza la url proporcionada por el servidor OpenID cuando te registras en él o la url de tu blog si lo has reclamado.

Si deseas una cuenta OpenID, puedes registrarte en el servidor OpenID de WeblogsSL.

Ejemplos de OpenID

  • Openid.blogs.es: http://openid.blogs.es/usuario o usuario
  • myOpenID: http://usuario.myopenid.com/

Destacado

Lo mejor del 2008

Suscríbete