推荐产品3推荐产品2推荐产品1
新闻内容News

用户账户密钥LinkedIn曝安全漏洞:Cookie有效期长达1年

    新浪科技讯北京时间5月23日上午消息,安全研究人员表示,职业社交网站LinkedIn存在安全漏洞,使得黑客无需密码即可入侵用户账户。

    就在LinkedIn上周IPO并实现市值翻番后,周末立刻出现安全漏洞的消息,使人们回想起上世纪90年代末的互联网泡沫。

    该漏洞是由印度新德里的独立互联网安全研究人员瑞什·纳朗(RishiNarang)发现的。他上周日表示,该问题与LinkedIn管理常规数字文件cookie的方法有关。

    在用户输入了正确的用户名和密码并访问账户后,LinkedIn系统会在用户电脑上创建一个名为“LEO_AUTH_TOKEN”的文件,充当访问该账户的密钥。很多网站都会使用这类cookie,但LinkedIn的独特之处在于,该文件要在创建一年后才能过期。

    纳朗上周末在个人博客上披露了该漏洞的详细信息。他表示,多数商务网站的密钥有效期都在24小时以内,如果用户注销账户,有效期甚至还会更短。但仍然存在一些例外:如果5至10分钟没有任何活动,银行网站通常会自动注销用户账户。谷歌则允许用户将有效期自主设定为数周,但首先要获得用户许可。

    LinkedIn的超长cookie有效期意味着,在长达一年的时间内,任何获得这一文件的人都可以将其加载到PC中,并轻易访问用户原始账户信息。

    LinkeIn发布了一条声明称,已经采取一些措施来保障用户的账户安全。“LinkedIn非常看重用户的隐私和安全,”该公司称,“无论你是在LinkedIn还是其他网站上,都要尽可能选择值得信任或加密的Wi-Fi网络或虚拟专用网(VPN)。”

    LinkedIn表示,该公司目前支持加密套接字协议层(SSL)技术,可以对账户登录信息等敏感数据进行加密。

    但这些充当登录密钥的cookie尚未使用SSL。这就使得黑客可以利用常见的流量嗅探工具窃取cookie。

    LinkedIn在声明中称,计划允许用户主动借助SSL对网站的其余部分进行保护,其中包括对cookie的加密。该公司称,这一计划预计将在“未来几个月内”部署。但LinkedIn拒绝对纳朗的批评做出回应。

    纳朗称,这个问题非常严重,因为LinkedIn的用户并未意识到该问题,而且并不了解如何保护自己的cookie。他发现,有用户在询问使用问题时,已经将4个LinkedIn的cookie上传到该公司的开发者论坛中。他已经下载了这些cookie,并成功访问了这4位LinkedIn用户的账户。(鼎宏)

 0.4353289604187 s