5月23日消息,据国外媒体报道,商务社交网站LinkedIn被发现存在安全漏洞,致使黑客不需要密码即可查看用户账户。此前LinkedIn上周四刚刚在纽交所上市。
印度独立互联网安全研究员Rishi Narang发现了该问题,并于上周日告诉媒体此事,称该漏洞与LinkedIn对cookie的管理方式有关。在用户输入用户名和密码登陆账号后,LinkedIn的系统便在用户电脑上创建名为“LEO_AUTH_TOKEN”的cookie文件,再次登陆账号时就无需输入密码。
Narang称,许多网站都是用此类cookie,但LinkedIn的不同在于其cookie有效期长达一年。而大多数商业网站的cookie有效期为24小时以内。不过也有例外,如银行网站会在用户闲置5到10分钟后关闭以保护安全。谷歌允许用户保持登陆几周,但会让用户事先选择。LinkedIn的做法意味着任何掌握了cookie文件的人都可登陆PC,在长达1年时间内轻松访问正牌用户的账号。
LinkedIn发表声明称,该公司已采取措施确保用户账户安全,目前LinkedIn已支持SSL以加密特定数据,包括账号登陆数据。但Narang表示,这些cookies未支持SSL,黑客可以利用常见的探测工具窃取cookie。LinkedIn称,公司准备对网站部分功能提供可选择的SSL支持,允许对cookies进行加密,预计在未来几个月内实现。但LinkedIn拒绝对Narang所称的LinkedIn cookie有效期1年的批判作出回应。
Narang表示,问题尤为严重,因为LinkedIn的用户没有意识到这个问题,且不知道该如何保护cookies。
Narang称,他在LinkedIn开发者论坛里发现用户上传了4个LinkedIn cookies,他下载了这些 cookies并成功访问了这4个LinkedIn账户。
印度独立互联网安全研究员Rishi Narang发现了该问题,并于上周日告诉媒体此事,称该漏洞与LinkedIn对cookie的管理方式有关。在用户输入用户名和密码登陆账号后,LinkedIn的系统便在用户电脑上创建名为“LEO_AUTH_TOKEN”的cookie文件,再次登陆账号时就无需输入密码。
Narang称,许多网站都是用此类cookie,但LinkedIn的不同在于其cookie有效期长达一年。而大多数商业网站的cookie有效期为24小时以内。不过也有例外,如银行网站会在用户闲置5到10分钟后关闭以保护安全。谷歌允许用户保持登陆几周,但会让用户事先选择。LinkedIn的做法意味着任何掌握了cookie文件的人都可登陆PC,在长达1年时间内轻松访问正牌用户的账号。
LinkedIn发表声明称,该公司已采取措施确保用户账户安全,目前LinkedIn已支持SSL以加密特定数据,包括账号登陆数据。但Narang表示,这些cookies未支持SSL,黑客可以利用常见的探测工具窃取cookie。LinkedIn称,公司准备对网站部分功能提供可选择的SSL支持,允许对cookies进行加密,预计在未来几个月内实现。但LinkedIn拒绝对Narang所称的LinkedIn cookie有效期1年的批判作出回应。
Narang表示,问题尤为严重,因为LinkedIn的用户没有意识到这个问题,且不知道该如何保护cookies。
Narang称,他在LinkedIn开发者论坛里发现用户上传了4个LinkedIn cookies,他下载了这些 cookies并成功访问了这4个LinkedIn账户。
还没有评论,来说两句吧...