玩偶厂家
免费服务热线

Free service

hotline

010-00000000
玩偶厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

LinkedIn曝安全漏洞Cookie有效期长达1年

发布时间:2020-02-11 05:23:21 阅读: 来源:玩偶厂家

北京时间5月23日上午消息,安全研究人员表示,职业社交网站LinkedIn存在安全漏洞,使得黑客无需密码即可入侵用户账户。

就在LinkedIn上周IPO并实现市值翻番后,周末立刻出现安全漏洞的消息,使人们回想起上世纪90年代末的互联网泡沫。

该漏洞是由印度新德里的独立互联网安全研究人员瑞什·纳朗(Rishi Narang)发现的。他上周日表示,该问题与LinkedIn管理常规数字文件cookie的方法有关。

在用户输入了正确的用户名和密码并访问账户后,LinkedIn系统会在用户电脑上创建一个名为“LEO_AUTH_TOKEN”的文件,充当访问该账户的密钥。很多网站都会使用这类cookie,但LinkedIn的独特之处在于,该文件要在创建一年后才能过期。

纳朗上周末在个人博客上披露了该漏洞的详细信息。他表示,多数商务网站的密钥有效期都在24小时以内,如果用户注销账户,有效期甚至还会更短。但仍然存在一些例外:如果5至10分钟没有任何活动,银行网站通常会自动注销用户账户。谷歌则允许用户将有效期自主设定为数周,但首先要获得用户许可。

LinkedIn的超长cookie有效期意味着,在长达一年的时间内,任何获得这一文件的人都可以将其加载到PC中,并轻易访问用户原始账户信息。

LinkeIn发布了一条声明称,已经采取一些措施来保障用户的账户安全。“LinkedIn非常看重用户的隐私和安全,”该公司称,“无论你是在LinkedIn还是其他网站上,都要尽可能选择值得信任或加密的Wi-Fi网络或虚拟专用网(VPN)。”

LinkedIn表示,该公司目前支持加密套接字协议层(SSL)技术,可以对账户登录信息等敏感数据进行加密。

但这些充当登录密钥的cookie尚未使用SSL。这就使得黑客可以利用常见的流量嗅探工具窃取cookie。

LinkedIn在声明中称,计划允许用户主动借助SSL对网站的其余部分进行保护,其中包括对cookie的加密。该公司称,这一计划预计将在“未来几个月内”部署。但LinkedIn拒绝对纳朗的批评做出回应。

纳朗称,这个问题非常严重,因为LinkedIn的用户并未意识到该问题,而且并不了解如何保护自己的cookie。他发现,有用户在询问使用问题时,已经将4个LinkedIn的cookie上传到该公司的开发者论坛中。他已经下载了这些cookie,并成功访问了这4位LinkedIn用户的账户。(鼎宏)

工商税务变更

中山工商税务代理

广州筹划税务专业

广州代理记账服务

深圳工商税务办理

深圳注册公司需要多少钱

相关阅读