临企新闻频道
您所在的位置:外贸网站建设首页 >> 新闻与活动 >> 新闻详细
上一新闻上一新闻

新闻与活动

LinkedIn存安全漏洞:黑客无需密码便可访问

2011-05-24 09:01:14

据路透社报道,印度一名互联网安全专家周日表示,美国商务人士社交网站LinkedIn存在一些安全漏洞,导致黑客无需得到密码,便能够以原始用户身份访问该网站。

LinkedIn上周四在纽约证券交易所上市交易,当天开盘价为83美元,全天上涨约109%,报收93.86美元。以上周四收盘价为标准,LinkedIn市值已达88.6亿美元。多数业界人士认为,在LinkedIn上市取得成功后,其他热门互联网创业公司也将相继跟进,进而掀起新一轮科技公司IPO热潮。

印度独立互联网安全研究人员里什·纳朗(Rishi Narang)周日在接受路透社采访时称,LinkedIn网站存在的安全漏洞,与该公司管理常规数据cookie文件的方式有关:当用户输入正确用户名及密码后,LinkedIn后台系统将在用户机器上创建一个名为“LEO_AUTH_TOKEN”的文件,以充当用户访问自己LinkedIn帐号的密码。

纳朗表示,虽然其他网站也使用类似cookie文件管理方式,但LinkedIn在用户机器上创建的cookie文件,通常一年后才会期满。纳朗周日还在其个人博客中阐述了LinkedIn安全漏洞的更多细节。

密码有效期限

纳朗称,虽然绝大多数商业网站也会在用户机器上创建一个cookie密码文件,但此类文件将于24小时后失效。如果用户退出登录,则有效期将更短。而银行网站对于此类文件的管理更为严格:如何用户登录后在5~10分钟内没有任何活动,网站将自动将用户处理为非登录状态。谷歌则允许用户将帐号登录状态有效期设定为数周,但该选项首先需得到用户确认。

LinkedIn在用户机器上所创建cookie文件有效期过长,意味着在长达一年的时间内,任何人从特定LinkedIn用户机器中获取相应cookie文件后,便可将该文件加载到自己PC机上,并以原始用户身份访问LinkedIn网站。

LinkedIn回应

LinkedIn周日晚些时候在一则声明中称,公司已经在采取相应措施,以保护用户帐号安全,“LinkedIn非常重视用户隐私和安全保护问题。无论你是访问LinkedIn或其他网站,都应选择值得信任和经过加密的Wi-Fi网络或虚拟专用网(VPN)。”

LinkedIn还表示,公司目前已经支持安全套接层协议(SSL)技术,该技术可对用户登录数据等隐私信息进行加密。但纳朗认为,LinkedIn在用户机器上创建的cookie密码管理文件并未使用SSL技术,黑客们可使用网上常见的流量嗅探工具,以获取LinkedIn用户机器上的cookie文件。

LinkedIn在声明中还表示,公司已计划对网站其他部分提供SSL技术支持,即用户机器的cookie文件也将纳入到LinkedIn的SSL技术管理当中。LinkedIn称,将在今后数月内正式实施这一措施。但对于纳朗所指出用户机器cookie文件有效期长达一年的问题,LinkedIn没有作出正面回应。

问题严重

纳朗表示,用户机器cookie文件有效期长达一年的问题非常严重,原因是大量LinkedIn用户不但对此并不知情,而且也不懂得如何保护自己cookie文件免受他人利用。

纳朗发现,由于一些用户遇到了使用问题,此前已将4个合法的cookie文件上传到LinkedIn开发者论坛当中。纳朗称,自己下载这些cookie文件后,便能以原始用户身份访问LinkedIn网站。

来源:互联网 转载于临企捷克语网站建设新闻频道

更多

看过此文章的网友还看过

百度将推问答网站新知 冲击创新工场旗下知乎11-05-19
5月18日消息,美国问答网站Quora在国内有了一批追随者。在国内在线问答网站还刚刚开始兴起,包括知乎、米饭、新知均还没有正式发布,但激烈竞争的战役已经打响。
Google上市后10大IPO:4家中国企业入榜11-05-18
5月18日消息,LinkedIn本周就要IPO,它将融资3.53亿美元。Google 2004年上市,融资16.7亿美元,自那以后的10大IPO到底是哪些企业呢?当中共有4家是中国企业:
百度说吧再调整:暂停注册 实时热点功能取消11-05-18
5月18日消息,刚刚并入贴吧事业部的百度旗下社交网络产品说吧再度调整,继负责人麦田(微博)转岗从事研究方面工作后,百度说吧近日又暂停注册、认证、实时热点等功能。
艺龙获腾讯5.4亿投资 “酒店超市”或大举扩张11-05-18
5月17日,艺龙发布公告,称已经获得腾讯和全球最大在线旅游公司Expedia的跟进战略投资。据艺龙首席执行官崔广福(微博)透露,腾讯将进入艺龙董事会,拥有15%的投票权;持股56%的第一大股东Expedia依然完全控制艺龙,投票权超过80%。
Facebook Pages新增定位功能和折扣交易11-05-18
如今,Pages上列出的地理位置可能包括一个“朋友活动”(Friend Activity)标签,该标签可以显示好友的签到信息。用户可能会在Pages顶部看到来自Checkin Deals的宣传信息,也可能在Edit Pages管理界面左侧导航菜单中看到Deals标签。
商务部回应:暂未收到沃尔玛投资1号店消息11-05-18
商务部出台的《外商投资产业指导目录(修订稿)》显示,直销、邮购以及网上销售属于“限制外商投资产业”之一。对此,沃尔玛昨日也向本报回应称:“我们对1号店控股公司进行小部分股权的投资无需监管部门批准。
Groupon预期移动营收近年内将占总营收50%11-05-17
北京时间5月17日消息,移动、社交和本地服务、这些将在未来几年成为Groupon的业务引擎。”  今天早上,迈克尔·西姆在“Mobile Northwest”大会上透露了上述看法,在当天的会议上,移动、电子商务和支付成为讨论的一部分。
支付宝股权迷雾未明 马云或出险棋护航改革11-05-17
在董事会是否知晓支付宝的股权转移问题上,阿里集团与其外资股东雅虎各执一词,雅虎称事先不知道支付宝股权的转移,但阿里集团表示事先告知了董事会,在上周末的阿里巴巴周年股东大会上,马云更直斥雅虎不可信。
返回
网站地图|隐私权政策|走进临企|常见问题|临企博客|联系临企|临企学院

本站关键词:外贸网站建设、多语种外贸网站制作、外贸网站设计外贸网站制作小语种网站建设、SEO网站品牌策划服务、多语言网站建设多语种网站建设、整站优化

浙ICP备07505129号   Copyright © 2008-2012  杭州临企网络技术有限公司.
2024-11-30 15:27:04 213153049752