LinkedIn曝安全漏洞：Cookie有效期长达1年

网易科技讯 5月23日消息，据路透社报道，LinkedIn暴露安全漏洞，cookie在生成之后的有效期长达一年，黑客甚至不需要密码便可以侵入用户的账户。

发现这一漏洞的独立网络安全研究员里什·那朗（Rishi Narang）对媒体表示，问题出现在LinkedIn对cookie的管理方式上。

在用户登陆之后，LinkedIn系统会在用户电脑上生成一个名为"LEO_AUTH_TOKEN"的cookie。很多网站都采用了这种cookie，但大多数商业网站通常将其有效期设定为24小时，如果用户是初次登陆的话，有效期还可能更短。LinkedIn的cookie有效期则长达一年，这意味着任何获得了该cookie文件的人都可以在长达一年的时间内，轻易地进入用户的账户。

LinkedIn发布了一份声明，表示十分注重会员的隐私及安全，已经采取措施保护用户账户安全。LinkedIn声明表示其目前已经支持SSL协议，或者安全套接层以及对"敏感"数据进行编译的技术，包括登陆账户。但这些cookie并不受SSL协议影响，这使得黑客能够使用非常普通的工具来盗取这些cookie。LinkedIn还声称已经准备向网站的其它页面提供给"opt-in" SSL协议，后者可以使这些cookie得到加密。

那朗还透露他已经发现了4种能够导致他人登陆用户账户的cookie。一些发现问题的用户将他们的cookie上传到一个LinkedIn开发者论坛上，那朗利用这些cookie成功登陆了这些用户的账户。LinkedIn拒绝就那朗的批评发表评论。（编译/许建林）