LinkedIn曝安全漏洞：Cookie有效期长达1年

　　北京时间5月23日上午消息，安全研究人员表示，职业社交网站LinkedIn存在安全漏洞，使得黑客无需密码即可入侵用户账户。

　　就在LinkedIn上周IPO并实现市值翻番后，周末立刻出现安全漏洞的消息，使人们回想起上世纪90年代末的互联网泡沫。

　　该漏洞是由印度新德里的独立互联网安全研究人员瑞什·纳朗(Rishi Narang)发现的。他上周日表示，该问题与LinkedIn管理常规数字文件cookie的方法有关。

　　在用户输入了正确的用户名和密码并访问账户后，LinkedIn系统会在用户电脑上创建一个名为“LEO_AUTH_TOKEN”的文件，充当访问该账户的密钥。很多网站都会使用这类cookie，但LinkedIn的独特之处在于，该文件要在创建一年后才能过期。

　　纳朗上周末在个人博客上披露了该漏洞的详细信息。他表示，多数商务网站的密钥有效期都在24小时以内，如果用户注销账户，有效期甚至还会更短。但仍然存在一些例外：如果5至10分钟没有任何活动，银行网站通常会自动注销用户账户。谷歌则允许用户将有效期自主设定为数周，但首先要获得用户许可。

　　LinkedIn的超长cookie有效期意味着，在长达一年的时间内，任何获得这一文件的人都可以将其加载到PC中，并轻易访问用户原始账户信息。

　　LinkeIn发布了一条声明称，已经采取一些措施来保障用户的账户安全。“LinkedIn非常看重用户的隐私和安全，”该公司称，“无论你是在LinkedIn还是其他网站上，都要尽可能选择值得信任或加密的Wi-Fi网络或虚拟专用网(VPN)。”

　　LinkedIn表示，该公司目前支持加密套接字协议层(SSL)技术，可以对账户登录信息等敏感数据进行加密。

　　但这些充当登录密钥的cookie尚未使用SSL。这就使得黑客可以利用常见的流量嗅探工具窃取cookie。

　　LinkedIn在声明中称，计划允许用户主动借助SSL对网站的其余部分进行保护，其中包括对cookie的加密。该公司称，这一计划预计将在“未来几个月内”部署。但LinkedIn拒绝对纳朗的批评做出回应。

　　纳朗称，这个问题非常严重，因为LinkedIn的用户并未意识到该问题，而且并不了解如何保护自己的cookie。他发现，有用户在询问使用问题时，已经将4个LinkedIn的cookie上传到该公司的开发者论坛中。他已经下载了这些cookie，并成功访问了这4位LinkedIn用户的账户。