linkedin发布了一份声明,表示十分注重会员的隐私及安全,已经采取措施保护用户账户安全。linkedin声明表示其目前已经支持ssl协议,或者安全套接层以及对"敏感"数据进行编译的技术,包括登陆账户。但这些cookie并不受ssl协议影响,这使得黑客能够使用非常普通的工具来盗取这些cookie。linkedin还声称已经准备向网站的其它页面提供给"opt-in" ssl协议,后者可以使这些cookie得到加密。
那朗还透露他已经发现了4种能够导致他人登陆用户账户的cookie。一些发现问题的用户将他们的cookie上传到一个linkedin开发者论坛上,那朗利用这些cookie成功登陆了这些用户的账户。linkedin拒绝就那朗的批评发表评论。linkedin暴露安全漏洞,cookie在生成之后的有效期长达一年,黑客甚至不需要密码便可以侵入用户的账户。
发现这一漏洞的独立网络安全研究员里什·那朗(rishi narang)对媒体表示,问题出现在linkedin对cookie的管理方式上。
深圳市洛克里奇科技有限公司
在用户登陆之后,linkedin系统会在用户电脑上生成一个名为"leo_auth_token"的cookie。很多网站都采用了这种cookie,但大多数商业网站通常将其有效期设定为24小时,如果用户是初次登陆的话,有效期还可能更短。linkedin的cookie有效期则长达一年,这意味着任何获得了该cookie文件的人都可以在长达一年的时间内,轻易地进入用户的账户。
