Twitter @anywhere 安全漏洞？

Question

我正在基于@anywhere 的网页上开发Twitter 应用程序。

我认为 @anywhere 是 Facebook Javascript SDK 的 Twitter 版本（也许这就是我错的地方）。

无论如何，事情是这样的。

您将“Connect With Twitter”代码放在您的网页上，如果用户使用 Twitter 登录并授权您的应用程序，那么您就可以用它做任何您想做的事情。

因此，如果 @user_a 使用他的 Twitter 帐户登录并访问您的网站，您可以执行一些奇特的操作，例如显示 @user_a 关注者或向他们的帐户发送推文等。

问题是这样发展的。假设 @user_a 已经登录到您的应用程序，然后 @user_a 从 Twitter 注销（因为它是公共计算机:/），然后其他人以 @user_b 身份登录 Twitter。如果 @user_b 访问您的 @anywhere 网页，IT 将看到一切，就好像 @user_a 已登录一样！ D：

Twitter 说这一切都很好，因为一切都基于 cookie，并且您应该提供一个按钮，让人们从 @anywhere 注销您的网站。对我来说，这听起来不切实际，因为如果你（用户）想要停止使用 Twitter，你只需从网页上退出即可（就像在 Facebook 上一样）；您不应该记住您已经连接到 Twitter 的哪些网站，并访问它们以退出这些网站，只是为了保护自己免受其他人使用您的帐户的影响。而且，更糟糕的是，该 cookie 很容易被盗，而且你知道故事的其余部分。

我做错了什么吗？我是否认为 @anywhere API 与它的预期有所不同？

Answer 1

@anywhere 不会将自己宣传为 SSO，因此它不需要单一登录断机制。这个想法是使用 @anywhere 登录其他站点，此时这些站点有责任处理会话，包括何时注销用户。就像用户使用两个不同的密码登录站点 a 和站点 b 一样，他们有责任对每个站点进行签名。

虽然保持活动状态的 @anywhere 令牌可以允许后续用户，但令牌仅活动几个小时，从而限制了潜在的损害。