注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

考利小游戏博客

Flash在线小游戏收藏

 
 
 

日志

 
 

LinkedIn曝安全漏洞:Cookie有效期长达1年  

2011-07-19 14:20:29|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

网易科技讯 5月23日消息,据路透社报道,LinkedIn暴露 安全 漏洞,cookie在生成之后的有效期长达一年,黑客甚至不需要密码便可以侵入 用户 的账户。

发现这一漏洞的独立网络安全研究员里什·那朗(Rishi Narang)对媒体表示,问题出现在LinkedIn对cookie的管理方式上。

在用户 登陆 之后,LinkedIn系统会在用户电脑上生成一个名为"LEO_AUTH_TOKEN"的cookie。很多 网站 都采用了这种cookie,但大多数商业网站通常将其有效期设定为24小时,如果用户是初次登陆的话,有效期还可能更短。LinkedIn的cookie有效期则长达一年,这意味着任何获得了该cookie文件的人都可以在长达一年的时间内,轻易地进入用户的账户。

LinkedIn发布了一份声明,表示十分注重会员的隐私及安全,已经采取措施保护用户账户安全。LinkedIn声明表示其目前已经支持SSL协议,或者安全套接层以及对"敏感"数据进行编译的技术,包括登陆账户。但这些cookie并不受SSL协议影响,这使得黑客能够使用非常普通的工具来盗取这些cookie。LinkedIn还声称已经准备向网站的其它页面提供给"opt-in" SSL协议,后者可以使这些cookie得到加密。

那朗还透露他已经发现了4种能够导致他人登陆用户账户的cookie。一些发现问题的用户将他们的cookie上传到一个LinkedIn开发者论坛上,那朗利用这些cookie成功登陆了这些用户的账户。LinkedIn拒绝就那朗的批评发表评论。(编译/许建林)

  评论这张
 
阅读(137)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018