Vercel's Chat SDK now supports X (Twitter) via a new official adapter, extending its single-codebase multi-platform bot framework to include Slack, Discord, GitHub, Teams, Telegram, WhatsApp, and now X. The adapter integrates with X API v2 and the X Activity API, handling CRC verification, webhook signature checks, and OAuth token refresh automatically. Limitations include likes as the only supported reaction and no native streaming support. A code snippet shows how to configure a bot to respond to @-mentions.
Nguồn: https://vercel.com/changelog/chat-sdk-adds-x-adapter-support. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
Bài viết hướng dẫn toàn diện về bảo mật xác thực trong ứng dụng web hiện đại, từ lưu trữ JWT trong localStorage (dễ bị XSS đánh cắp) đến giải pháp an toàn hơn như token trong bộ nhớ, cookie httpOnly kết hợp bảo vệ CSRF, phiên server-side so với JWT, xoay vòng refresh token OAuth, và mô hình Backend for Frontend (BFF). Khuyến nghị chính là lưu phiên trong cookie httpOnly kèm server-side session store, sử dụng CSRF token cùng SameSite/Origin header, và đẩy toàn bộ xử lý token OAuth vào BFF để trình duyệt không bao giờ tiếp xúc trực tiếp. Ngoài ra, bài viết cũng đề cập đến mối đe dọa mới nổi là infostealer/pass-the-cookie và giải pháp bảo vệ cấp phần cứng DBSC của Chrome, kèm theo ví dụ code React để xử lý yêu cầu refresh token đồng thời.
Là người phát triển cần hiểu cách bảo mật xác thực hiện hiệu nhất để tránh các lỗ hổng như XSS, CSRF, và tấn công mới như pass-the-cookie, đồng thời tối ưu hóa hiệu suất và bảo mật cho ứng dụng hiện đại.
XAA là khung danh tính của Okta thay thế API keys tĩnh và OAuth rải rác bằng cơ chế truyền token dựa trên danh tính giữa các ứng dụng. Để tích hợp XAA vào OIN, ISV phải hỗ trợ OIDC/SAML SSO, triển khai ID-JAG token exchange flows, vượt qua bài test xác minh rồi gửi form chi tiết qua email tới Okta OIN team.
Lập trình viên phát triển ứng dụng cần đọc để hiểu cách xây dựng kết nối bảo mật Cross App Access (XAA) trên Okta, tránh rủi ro bảo mật và tối ưu hóa tính liên kết giữa các ứng dụng theo tiêu chuẩn hiện đại.
Hai cuộc tấn công social engineering là ConsentFix và ClickFix lợi dụng các thao tác quen thuộc của người dùng để chiếm quyền tài khoản Microsoft 365 chỉ trong vài giây. ClickFix dụ nạn nhân thực thi lệnh do kẻ tấn công cung cấp thông qua phím tắt bàn phím, trong khi ConsentFix khai thác lỗ hổng OAuth bằng cách lôi kéo người dùng kéo liên kết callback localhost vào trình duyệt, chiếm lấy token phiên làm việc mà không cần mật khẩu hay vượt qua MFA. Đến đầu năm 2026, các hướng dẫn kỹ thuật chi tiết cùng mã nguồn và video hướng dẫn của ConsentFix đã được đăng công khai trên diễn đàn tội phạm mạng Nga, giúp giảm đáng kể rào cản thực hiện tấn công. Để phòng thủ, cần kết hợp nâng cao nhận thức người dùng và triển khai các biện pháp phát hiện kỹ thuật như giám sát hoạt động PowerShell bất thường hay đăng nhập phiên lạ.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công xã hội kỹ thuật số như ConsentFix và ClickFix exploit các quy trình làm việc thông thường của người dùng trong Microsoft 365, giúp họ phát triển các giải pháp bảo mật hiệu quả hơn, từ đó bảo vệ hệ thống và ứng dụng của mình trước các cuộc tấn công mới.
AWS API Gateway thiếu quy trình đăng ký ứng dụng hay luồng OAuth tự phục vụ công khai, khiến nó không tương thích với mô hình onboarding tự động. Người viết so sánh AWS với mô hình lý tưởng như SoundCloud, nơi script có thể đăng ký ứng dụng và nhận credentials theo chương trình. Do AWS yêu cầu credentials phải xuất phát từ ranh giới tin cậy của chủ tài khoản, giải pháp khả thi nhất là tạo API key và gắn vào usage plan thông qua yêu cầu SigV4-signed tới control plane. Bài viết cung cấp script Node.js (không phụ thuộc, chỉ dùng thư viện chuẩn) triển khai ký SigV4 thủ công và gọi CreateApiKey, CreateUsagePlanKey. Tác giả cho rằng đây là hạn chế về triết lý, không phải kỹ thuật, và kêu gọi AWS cung cấp endpoint đăng ký có phạm vi, có thể thu hồi cho agent.
Lập trình viên cần đọc bài này để hiểu cách tự động hóa đăng ký và quản lý API trên AWS API Gateway bằng cách sử dụng API keys và SigV4, giúp tiết kiệm thời gian và tránh rủi ro liên quan đến OAuth thủ công.
RSK đã fork IdentityServer4 thành Open.IdentityServer, phiên bản miễn phí và mã nguồn mở cho OpenID Connect và OAuth 2.0 trên .NET, nhằm thay thế phiên bản thương mại của Duende Software. Open.IdentityServer 1.0.0 ra mắt tháng 6/2025 với giấy phép Apache 2.0, hỗ trợ di chuyển dễ dàng từ Duende chỉ bằng thay đổi NuGet package.
Nếu bạn đang phát triển ứng dụng .NET sử dụng OAuth 2.0/OpenID Connect và muốn có một giải pháp mã nguồn mở, hỗ trợ lâu dài mà không phụ thuộc vào các giải pháp thương mại, thì Open.IdentityServer là lựa chọn thay thế đáng tin cậy và dễ triển khai ngay hôm nay.
Two real-world Microsoft 365 attack campaigns — Railway (device code phishing) and LSHIY (ROPC password spray) — bypassed MFA because of Conditional Access misconfigurations. In the LSHIY campaign, 55 of 78 compromised accounts had active MFA policies that simply didn't cover Azure CLI or legacy auth flows. Common gaps included MFA scoped to specific apps rather than all cloud apps, policies in report-only mode, and incorrect trusted location labeling. The post explains how blocking device code flow and restricting legacy auth flows via properly scoped Conditional Access policies would have prevented both attacks, and promotes Huntress Managed ISPM as a tool to detect and remediate these gaps with a learning-mode rollout approach.
AI readiness goes beyond choosing smart models — it requires mature data, governance, and integration foundations. For APIs specifically, this means shifting from human-readable interfaces to machine-consumable ones that AI agents can reliably discover, call, and recover from. Traditional APIs fail in agentic systems due to poor documentation, inconsistent error handling, non-idempotent behavior, human-driven authentication, oversized payloads, and infrastructure fragility. To become AI-ready, APIs should adopt strongly typed OpenAPI schemas, concrete examples, structured JSON error objects, idempotent endpoints, strict pagination, and machine-friendly auth like OAuth 2.0 client credentials. These upgrades enable enterprises to scale agentic architectures safely without risking compliance failures, cost overruns, or security exposures.