Finalmente encontrei a resposta pra uma pergunta que eu fazia há mais de um ano: como forçar a navegação https no Twitter? Festejem, paranóicos por segurança e privacidade! Agora, a exemplo do Gmail, os espertos usuários do Twitter não mais correm o risco de terem suas DMs (e cookies) interceptadas enquanto navegam por uma rede Wi-Fi (ou não) qualquer.

Quem nos brinda com essa proteção indispensável é o velho companheiro NoScript, add-on obrigatório exclusivo pros usuários do Firefox, e que também nos defende de mais uma porrada de vulnerabilidades do tipo XSS, CSRF, Clickjacking e o caralho a 4.

Pra forçar a conexão segura em sites que você tiver CERTEZA de que as aceita  (teste substituindo no endereço o http:// por https://), a configuração ninja é a seguinte:

Veja que basta inserir os domínios que você quer forçar o HTTPS separados por um espaço. Também vale abusar do uso de wildcard (*), pra ter certeza de que todos os subdomínios do site também serão forçados via HTTPS. Repare que tive que inserir o search.twitter.com na lista de exclusão já que este subdomínio não responde via HTTPS (não rola a porta 443 aberta por lá). A notícia boa é que os cookies setados pelo twitter não são enviados pra esse subdomínio, o que não cria uma potencial brecha na proteção.

A mesma dica vale pro Facebook, pro Gmail (que precisa primeiro ter ativada opção interna pro uso de HTTPS) e pros bancos onde você tem conta. “Ora, mas os bancos já não são seguros?”. Sim e não. Notei que alguns bancos usam o HTTPS apenas em algumas páginas, permitindo que alguns dados pessoais dos clientes vazem por meio de uma conexão HTTP não segura. Mas isso eu comento em outro post…

É isso. Proteja seu twitter NOW!

[]’s

[Update: o twitter fechou o bug que permitia o redirecionamento de usernames. Como punição por brincar com o que não deve, perdi o user @kmax pra um gringo :/]

—

Primeiro algumas sábias palavras:

ESTE TUTORIAL É PROVIDO COMO ELE É. SEGUI-LO CORRETAMENTE PODE PERMITIR QUE VOCÊ REDIRECIONE UM USERNAME NO TWITTER PARA OUTRO E ASSIM VIVA FELIZ PARA SEMPRE NO MUNDO DOS BACANISTAS. MAS SE VOCÊ ESTIVER NUM DIA RUIM PODE ACABAR PERDENDO IRREVERSIVELMENTE SUA CONTA E MARCANDO ESTE DIA COMO O MAIS TRISTE DA SUA EXISTÊNCIA TWITTEIRA. ANTES DE PROSSEGUIR, TENHA CERTEZA QUE VOCÊ ESTÁ LÚCIDO, SÓBRIO E DE QUE ENTENDEU OS RISCOS.

Vamos lá….

…humn, melhor não, já que nem sei exatamente o que aconteceu :P
Por hora vou me limitar a contar o que me lembro da paranormal jornada da tarde de ontem. Se você quiser tentar reproduzir os passos a fim de criar um redirecionamento de username no twitter por conta própria, boa sorte (você vai precisar).

Bom, provavelmente você já notou que, assim como muitos sistemas de gerenciamento de usuários, o twitter identifica seus usuários por IDs vinculados aos usernames, e que o site se aproveitou disso pra permitir algo que na verdade poucos sites permitem: a mudança do username a qualquer momento (Settings > Username). Mudando-o você afeta como as pessoas te vêem no twitter e também como você se loga no site.

Então, e não é que ontem a tarde algo BEM estranho aconteceu? Ao tentar renomear @viniciuskmax pra @kmax e vice-versa (coisa que já havia feito algumas vezes ano passado), fui surpreendido por um bug bizarríssimo. Ao invés de ter os usernames completamente invertidos, tive uma espécie de inversão parcial, onde eu logava com o novo username mas continuava postando como o antigo. Explicando melhor: renomeei meu user @viniciuskmax pra @kmax (conta que já existia); estava logado como @kmax mas meus tweets continuavam aparecendo como @viniciuskmax! Além disso, quem clicasse em @viniciuskmax era direcionado pra conta antiga, a @kmax, agora renomeada pra @viniciuskmax mas que também continuava soltando tweets por @kmax.

Confuso? É, eu também fiquei.

Eu estava logado em cada conta num browser diferente, permitindo fazer a troca de usernames o mais rápido possível, mas ao fazer um sign out e novamente o login em ambos os browsers, imaginando que o bug escroto desapareceria, o susto:

“Something is technically wrong.
Thanks for noticing—we’re going to fix it up and have things back to normal soon.”

Estava de castigo, incapaz de logar novamente em qualquer uma das contas! Criei uma terceira conta e abri um novo request em Help, detalhando meu caso. Enquanto isso, no Gtalk, contei o bug ao @jonnyken que me sugeriu tentar logar pelo email cadastrado na conta, ao invés de usar o username. Bingo! Consegui logar. Sabendo que o request demoraria dias pra ser respondido pelo staff, tentei reverter a situação por contra própria. Loguei em @kmax (pelo email, o que até me ajudou a ter certeza de qual conta eu estava de fato acessando) e mudei o username pra um temporário qualquer. Saí e loguei na minha conta principal, também restaurando o atual username pro antigo. Dei um sign out e login de novo e…

Wow! As contas deixaram de ficar fudidas e ficaram FUNDIDAS!1

Agora http://twitter.com/kmax leva pra http://twitter.com/viniciuskmax

Acho que vou lá em Help dar por resolvido meu request a fim de deixar esse redirect permanente - ou pelo menos até alguém mais reportar o problema e os programadores do twitter arrumarem esse porco relacionamento de IDs/Usernames.

Abs

Vinícius K-Max é fuçador e também faz programas.