您所在的位置:曹妃甸163 > 生活频道 > 互联时代

LinkedIn曝安全漏洞:Cookie有效期长达1年

发布:2011/5/23 16:49:59  来源:网易  浏览次  编辑:佚名

网易科技讯 5月23日消息,据路透社报道,LinkedIn暴露安全漏洞,cookie在生成之后的有效期长达一年,黑客甚至不需要密码便可以侵入用户的账户。

发现这一漏洞的独立网络安全研究员里什·那朗(Rishi Narang)对媒体表示,问题出现在LinkedIn对cookie的管理方式上。

在用户登陆之后,LinkedIn系统会在用户电脑上生成一个名为"LEO_AUTH_TOKEN"的cookie。很多网站都采用了这种cookie,但大多数商业网站通常将其有效期设定为24小时,如果用户是初次登陆的话,有效期还可能更短。LinkedIn的cookie有效期则长达一年,这意味着任何获得了该cookie文件的人都可以在长达一年的时间内,轻易地进入用户的账户。

LinkedIn发布了一份声明,表示十分注重会员的隐私及安全,已经采取措施保护用户账户安全。LinkedIn声明表示其目前已经支持SSL协议,或者安全套接层以及对"敏感"数据进行编译的技术,包括登陆账户。但这些cookie并不受SSL协议影响,这使得黑客能够使用非常普通的工具来盗取这些cookie。LinkedIn还声称已经准备向网站的其它页面提供给"opt-in" SSL协议,后者可以使这些cookie得到加密。

那朗还透露他已经发现了4种能够导致他人登陆用户账户的cookie。一些发现问题的用户将他们的cookie上传到一个LinkedIn开发者论坛上,那朗利用这些cookie成功登陆了这些用户的账户。LinkedIn拒绝就那朗的批评发表评论。(编译/许建林)

(本文来源:网易科技报道 ) 占世伟

相关文章

赞助商推广链接
Copyright © 2003-2009 Cfd163.com All rights reserved.