據路透社報道,印度一名互聯網安全專家周日表示,美國商務人士社交網站LinkedIn存在一些安全漏洞,導致黑客無需得到密碼,便能夠以原始用戶身份訪問該網站。
LinkedIn上周四在紐約證券交易所上市交易,當天開盤價為83美元,全天上漲約109%,報收93.86美元。以上周四收盤價為標準,LinkedIn市值已達88.6億美元。多數業界人士認為,在LinkedIn上市取得成功后,其他熱門互聯網創業公司也將相繼跟進,進而掀起新一輪科技公司IPO熱潮。
印度獨立互聯網安全研究人員里什·納朗(Rishi Narang)周日在接受路透社采訪時稱,LinkedIn網站存在的安全漏洞,與該公司管理常規數據cookie文件的方式有關:當用戶輸入正確用戶名及密碼后,LinkedIn后臺系統將在用戶機器上創建一個名為“LEO_AUTH_TOKEN”的文件,以充當用戶訪問自己LinkedIn帳號的密碼。
納朗表示,雖然其他網站也使用類似cookie文件管理方式,但LinkedIn在用戶機器上創建的cookie文件,通常一年后才會期滿。納朗周日還在其個人博客中闡述了LinkedIn安全漏洞的更多細節。
密碼有效期限
納朗稱,雖然絕大多數商業網站也會在用戶機器上創建一個cookie密碼文件,但此類文件將于24小時后失效。如果用戶退出登錄,則有效期將更短。而銀行網站對于此類文件的管理更為嚴格:如何用戶登錄后在5~10分鐘內沒有任何活動,網站將自動將用戶處理為非登錄狀態。谷歌則允許用戶將帳號登錄狀態有效期設定為數周,但該選項首先需得到用戶確認。
LinkedIn在用戶機器上所創建cookie文件有效期過長,意味著在長達一年的時間內,任何人從特定LinkedIn用戶機器中獲取相應cookie文件后,便可將該文件加載到自己PC機上,并以原始用戶身份訪問LinkedIn網站。
LinkedIn回應
LinkedIn周日晚些時候在一則聲明中稱,公司已經在采取相應措施,以保護用戶帳號安全,“LinkedIn非常重視用戶隱私和安全保護問題。無論你是訪問LinkedIn或其他網站,都應選擇值得信任和經過加密的Wi-Fi網絡或虛擬專用網(VPN)。”
LinkedIn還表示,公司目前已經支持安全套接層協議(SSL)技術,該技術可對用戶登錄數據等隱私信息進行加密。但納朗認為,LinkedIn在用戶機器上創建的cookie密碼管理文件并未使用SSL技術,黑客們可使用網上常見的流量嗅探工具,以獲取LinkedIn用戶機器上的cookie文件。
LinkedIn在聲明中還表示,公司已計劃對網站其他部分提供SSL技術支持,即用戶機器的cookie文件也將納入到LinkedIn的SSL技術管理當中。LinkedIn稱,將在今后數月內正式實施這一措施。但對于納朗所指出用戶機器cookie文件有效期長達一年的問題,LinkedIn沒有作出正面回應。
問題嚴重
納朗表示,用戶機器cookie文件有效期長達一年的問題非常嚴重,原因是大量LinkedIn用戶不但對此并不知情,而且也不懂得如何保護自己cookie文件免受他人利用。
納朗發現,由于一些用戶遇到了使用問題,此前已將4個合法的cookie文件上傳到LinkedIn開發者論壇當中。納朗稱,自己下載這些cookie文件后,便能以原始用戶身份訪問LinkedIn網站。
推薦閱讀
5月23日消息,印度第一大軟件企業Infosys(印孚瑟斯)周末在上海宣布新建產業園區,預計投資1.25億到1.5億美元。公司將利用此舉在中國擴張市場,并為全球提供咨詢和軟件服務,而中國是最為重視的區域之一。 5月23日消>>>詳細閱讀
地址:http://m.sdlzkt.com/a/xie/20111230/178480.html
網友點評
精彩導讀
科技快報
品牌展示