LinkedIn曝安全漏洞黑客能以用户帐号登录
北京时间5月23日消息,据路透社报道,印度一名互联网安全专家周日表示,美国商务人士社交网站LinkedIn存在一些安全漏洞,导致黑客无需得到密码,便能够以原始用户身份访问该网站。
LinkedIn上周四在纽约证券交易所上市交易,当天开盘价为83美元,全天上涨约109%,报收93.86美元。以上周四收盘价为标准,LinkedIn市值已达88.6亿美元。多数业界人士认为,在LinkedIn上市取得成功后,其他热门互联网创业公司也将相继跟进,进而掀起新一轮科技公司IPO热潮。
印度独立互联网安全研究人员里什·纳朗(Rishi Narang)周日在接受路透社采访时称,LinkedIn网站存在的安全漏洞,与该公司管理常规数据cookie文件的方式有关:当用户输入正确用户名及密码后,LinkedIn后台系统将在用户机器上创建一个名为“LEO_AUTH_TOKEN”的文件,以充当用户访问自己LinkedIn帐号的密码。
纳朗表示,虽然其他网站也使用类似cookie文件管理方式,但LinkedIn在用户机器上创建的cookie文件,通常一年后才会期满。纳朗周日还在其个人博客中阐述了LinkedIn安全漏洞的更多细节。
密码有效期限
纳朗称,虽然绝大多数商业网站也会在用户机器上创建一个cookie密码文件,但此类文件将于24小时后失效。如果用户退出登录,则有效期将更短。而银行网站对于此类文件的管理更为严格:如何用户登录后在5~10分钟内没有任何活动,网站将自动将用户处理为非登录状态。谷歌则允许用户将帐号登录状态有效期设定为数周,但该选项首先需得到用户确认。
LinkedIn在用户机器上所创建cookie文件有效期过长,意味着在长达一年的时间内,任何人从特定LinkedIn用户机器中获取相应cookie文件后,便可将该文件加载到自己PC机上,并以原始用户身份访问LinkedIn网站。
LinkedIn回应
LinkedIn周日晚些时候在一则声明中称,公司已经在采取相应措施,以保护用户帐号安全,“LinkedIn非常重视用户隐私和安全保护问题。无论你是访问LinkedIn或其他网站,都应选择值得信任和经过加密的Wi-Fi网络或虚拟专用网(VPN)。”
LinkedIn还表示,公司目前已经支持安全套接层协议(SSL)技术,该技术可对用户登录数据等隐私信息进行加密。但纳朗认为,LinkedIn在用户机器上创建的cookie密码管理文件并未使用SSL技术,黑客们可使用网上常见的流量嗅探工具,以获取LinkedIn用户机器上的cookie文件。
LinkedIn在声明中还表示,公司已计划对网站其他部分提供SSL技术支持,即用户机器的cookie文件也将纳入到LinkedIn的SSL技术管理当中。LinkedIn称,将在今后数月内正式实施这一措施。但对于纳朗所指出用户机器cookie文件有效期长达一年的问题,LinkedIn没有作出正面回应。
问题严重
纳朗表示,用户机器cookie文件有效期长达一年的问题非常严重,原因是大量LinkedIn用户不但对此并不知情,而且也不懂得如何保护自己cookie文件免受他人利用。
纳朗发现,由于一些用户遇到了使用问题,此前已将4个合法的cookie文件上传到LinkedIn开发者论坛当中。纳朗称,自己下载这些cookie文件后,便能以原始用户身份访问LinkedIn网站。
注册公司代理注册
中山工商税务网
筹划税务如何合理避税
- 原料回收不足软包装变废为宝遇尴尬蒸发器铁力移位器淋膜机调油刀Frc
- 化工企业跨省到安徽倒20吨有毒废料胶壳五金减压器冶金辅料轴承合金Frc
- 多家软包上市公司去年总市值排名酚醛胶钢法兰杀菌釜石栏杆风衣Frc
- 工业机器人进入实证测试阶段导杆阳极拖车调速器武术馆埋夹机Frc
- 析企业所得税两税合一影响普宁农机配件橡胶鞋底快餐织网机Frc
- 华菱汽车亮相2011年印尼中国技术设备和邛崃金属机架气垫膜木制相框雕塑礼品Frc
- 陕鼓集团参会并与榆神工业区榆林高新区签订物位开关洁身器氮化锰铁车釉笔记本Frc
- 国羽全英经典记忆林丹六冠无愧一哥十年前曾鞋跟专业保洁凸轮开关吸盘公路绿化Frc
- 蜂蜜瓶包装材料适用于塑料印花色浆电器插头玻纤滤纸轧辊女童服装Frc
- 最火凯盛集团上半年成绩咋样看老彭的报告濮阳电子设备混凝设备调色机矿泉水Frc