Dois-je faire confiance à mon utilisateur / mot de passe pour certaines applications qui prétendent être intégrées à Twitter?
J'ai vu quelques applications Web dire quelque chose le long des lignes:
"Utilisez votre compte Twitter-> Utilisateur _ __ mot de passe _ _ "
Et puis ils vous amènent à une autre page.
Après tous ces avertissements d'hameçonnage, pourquoi devrais-je faire confiance à l'une de ces applications?
Ce que les sites devraient faire, c’est utiliser twitters oAuth pour vous connecter, il vous redirigera vers Twitter où il vous sera demandé si vous souhaitez partager des détails (jamais votre mot de passe). Les sites externes ne seront bientôt plus en mesure de connecter les utilisateurs à Twitter avec un nom d'utilisateur et un mot de passe. Un comportement comme celui-ci va bientôt suivre le chemin du dodo.
Pour le voir en action, j'ai construit un site pour l'API des applications de pile qui utilise Twitter oAuth appelé pile de twits .
Tu ne devrais pas.
Un site qui veut vous laisser utiliser vos informations d'identification personnelles doit avoir une intégration OpenID comme webapps.stackexchange.com (ou les autres membres de la famille).
Vous demander de saisir vos informations d’identité, même si vous n’êtes pas mal intentionné, est source de problèmes.
Toujours préférer les OAuth connexions - celles-ci vous dirigent vers Twitter pour vous connecter et autoriser le site (un peu comme Facebook Connect). Mais il peut parfois être difficile d’être absolument sûr que vous envoyez le mot de passe à Twitter, surtout si le site ouvre la page OAuth dans un iFrame ou similaire.
En outre, même si le site utilise OAuth, il ne peut toujours pas servir à rien.
Donc, vous devrez faire appel à votre jugement pour savoir si vous faites ou non confiance au site.
Mise à jour: exemple de OAuth sites qui peuvent ne pas être bons: Twibbon fait du mauvais travail (qu'ils ont mis dans leur gabarit).
Étant donné que Twitter dispose d'une méthode permettant aux sites d'utiliser votre compte Twitter avec d'autres sites (sans donner votre mot de passe), les sites qui vous demandent vos informations de connexion sont très probablement frauduleux.