|
|
凤凰网科技讯 5月23日消息,据路透社消息,一名安全专家近日称,LinkedIn商务社交网站存在安全漏洞,使得用户的账号易受攻击——黑客可以无需密码便黑进用户的账户。
几天前LinkedIn才上市,交易日首日其估值就成倍增长,如今有关其安全漏洞的问题则传得风风火火。
印度一位独立网络安全专家Rishi Narang最先发现了LinkedIn存在安全漏洞,并在周日接受采访时表示,这个问题同LinkedIn管理常用数据文件cookie的方式有关。
在用户输入正确的用户名和密码进入其账户之后,LinkedIn的系统就会在用户电脑上生成一个“LEO_AUTH_TOKEN”的cookie,可以作为进入账户的密匙。
许许多多的网站都采用这样的cookie,但Narang表示,LinkedIn的cookie之所以特别,在于它的数据一整年都不会过期。
大部分商业网站在传统上会将其密匙cookie的有效期设定为24小时,如果用户自动退出账户,这个有效期将会更短。举例而言,银行网站通常在用户处于非活动状态的5到10分钟内就自动退出了。而谷歌允许用户使用cookie保留登录状态长达几周,但前提是用户自行选择。
LinkedIn发表声明称其已经采取行动确保用户账户安全。声明中宣称:“LinkedIn非常重视用户的隐私和安全。如果你要登陆LinkedIn或其他网站,选择受信任及加密的WiFi网络或VPN网络总是明智的。”
公司表示,他们目前支持SSL技术,加密一些“敏感”数据,包括用户登录数据。
但是那些密匙cookie却尚未采用SSL技术加密。这就给黑客机会,采用各种工具盗取这些cookie,以盗取用户账号。
LinkedIn在声明中称,他们正准备为网站的其他区域提供“选择性加入”的SSL支持,其中一个选择便是为这些cookie加密。公司期望这能够在“未来几个月”内推出。
但是LinkedIn的工作人员拒绝对Narang指出公司采用1年有效期的cookie作出回应。
Narang则表示,问题相当严重,因为LinkedIn的用户并没意识到这个问题,同时也不知道他们应该保护这些cookie。他曾发现,当用户在LinkedIn的开发者论坛上提问上,他们曾无意上传了4个含有账户密匙的cookie。而一旦人们下载了这些cookie,就能够登陆四个LinkedIn用户的账户。(编译/雪婷) |
|
窥视卡
雷达卡
发表于 2016-5-9 14:27:02
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜