LinkedIn曝安全漏洞Cookie有效期长达1年
北京时间5月23日上午消息,安全研究人员表示,职业社交网站LinkedIn存在安全漏洞,使得黑客无需密码即可入侵用户账户。
就在LinkedIn上周IPO并实现市值翻番后,周末立刻出现安全漏洞的消息,使人们回想起上世纪90年代末的互联网泡沫。
该漏洞是由印度新德里的独立互联网安全研究人员瑞什·纳朗(Rishi Narang)发现的。他上周日表示,该问题与LinkedIn管理常规数字文件cookie的方法有关。
在用户输入了正确的用户名和密码并访问账户后,LinkedIn系统会在用户电脑上创建一个名为“LEO_AUTH_TOKEN”的文件,充当访问该账户的密钥。很多网站都会使用这类cookie,但LinkedIn的独特之处在于,该文件要在创建一年后才能过期。
纳朗上周末在个人博客上披露了该漏洞的详细信息。他表示,多数商务网站的密钥有效期都在24小时以内,如果用户注销账户,有效期甚至还会更短。但仍然存在一些例外:如果5至10分钟没有任何活动,银行网站通常会自动注销用户账户。谷歌则允许用户将有效期自主设定为数周,但首先要获得用户许可。
LinkedIn的超长cookie有效期意味着,在长达一年的时间内,任何获得这一文件的人都可以将其加载到PC中,并轻易访问用户原始账户信息。
LinkeIn发布了一条声明称,已经采取一些措施来保障用户的账户安全。“LinkedIn非常看重用户的隐私和安全,”该公司称,“无论你是在LinkedIn还是其他网站上,都要尽可能选择值得信任或加密的Wi-Fi网络或虚拟专用网(VPN)。”
LinkedIn表示,该公司目前支持加密套接字协议层(SSL)技术,可以对账户登录信息等敏感数据进行加密。
但这些充当登录密钥的cookie尚未使用SSL。这就使得黑客可以利用常见的流量嗅探工具窃取cookie。
LinkedIn在声明中称,计划允许用户主动借助SSL对网站的其余部分进行保护,其中包括对cookie的加密。该公司称,这一计划预计将在“未来几个月内”部署。但LinkedIn拒绝对纳朗的批评做出回应。
纳朗称,这个问题非常严重,因为LinkedIn的用户并未意识到该问题,而且并不了解如何保护自己的cookie。他发现,有用户在询问使用问题时,已经将4个LinkedIn的cookie上传到该公司的开发者论坛中。他已经下载了这些cookie,并成功访问了这4位LinkedIn用户的账户。(鼎宏)
工商税务变更
中山工商税务代理
广州筹划税务专业
- 徐乐江以互联网驱动钢铁业转型空调塔城车圈塑料助剂螺尖丝锥Frc
- OTT猛烈冲击广电运营商急需去广电化防伪印刷紧定衬套仪器仪表胶合板六角螺帽Frc
- 河南省啤酒市场亟待净化震动电机机筒螺杆收银台耐腐蚀泵蝶阀Frc
- 艾默生网络能源携手中国银行安徽省分行推进铜陵玻璃印刷烘干设备密封法兰藏饰手链Frc
- 一项技术革新让竹浆湿浆造纸企业获得新生连接法兰液压冲床伺服阀服装加盟航空接头Frc
- 国际碳纤维产业分析及全球产能状况塑料轴承别克配件二手仪表绿植硬化胶Frc
- 广州石化PS现定价销售肇庆音乐IC船用电缆竹胶板皮辊磨床Frc
- 水性油墨用助剂的选择丹江口切碎机操作系统绢云母搪塑玩具Frc
- 2016年7月7日塑料原料ABS价格行情天水作文家教乳胶床垫探伤仪对焊法兰Frc
- 7月27日中国塑料价格指数10时快报途锐配件冷水江体重秤台秤上光机Frc