推特警告可能的API密钥泄露

推特今天通知开发者一起可能影响他们账户的安全事件。

这起事件是由developer.twitter.com网站发送给用户浏览器的错误说明引起的。

Developer.twitter.com网站是开发人员管理其Twitter应用程序和附加API密钥的门户，也是其Twitter帐户的访问令牌和密钥。

在今天发给开发者的一封电子邮件中，Twitter表示，其developer.twitter.com网站告诉浏览器在缓存中创建并存储API密钥、帐户访问令牌和帐户秘密的副本，缓存是浏览器中保存数据的部分，以加快用户再次访问同一网站时加载页面的过程。

对于使用自己的浏览器的开发人员来说，这可能不是问题，但Twitter警告可能使用公共或共享计算机访问developer.twitter.com网站的开发人员-在这种情况下，他们的API密钥现在最有可能存储在这些浏览器中。

推特表示，如果在这段临时时间内在你之后使用同一台电脑的人知道如何访问浏览器的缓存，并知道要查找什么，那么他们就有可能访问了你查看过的密钥和令牌。

Twitter表示，根据你访问的页面和查看的信息，这可能包括你的应用程序的消费者API密钥，以及你自己Twitter账户的用户访问令牌和密码。

Twitter表示，通过更改用户访问developer.twitter.com门户时缓存的内容，修复了这个问题。

这家社交网络还表示，没有迹象表明有任何API密钥以这种方式泄露，因为攻击者必须(1)知道这个漏洞，(2)可以访问开发者的浏览器来提取密钥和令牌。

Shutterstock的应用安全工程师约翰·杰克逊(John Jackson)今天对ZDNet表示：“我认为Twitter通知开发者的做法是正确的。”

他补充说，虽然我确信他们将面临审查，但安全问题的透明度是值得称赞的社区做法。

一般来说，在客户端缓存API密钥等敏感信息是一种非常糟糕的做法，也是一种明显的配置错误。杰克逊说，这个漏洞的总体风险无疑是应该认真对待的，但日常利用的可能性很低。

杰克逊说，我很想知道Twitter还缓存了哪些敏感信息，因为这不是Twitter第一次这样做，在发现消息被缓存之前就已经看到了。他指的是社交网站4月份披露的一起类似事件，当时该公司表示，一些通过直接消息发送的私人文件可能留在了Firefox浏览器的缓存中。