|
Сразу после выхода на биржу эксперт в области компьютерной безопасности Риши
Наранг обвинил сайт LinkedIn в слабой безопасности.
Наранг, опубликовавший своё
исследование, касающееся файлов cookie, которые генерирует сайт LinkedIn,
определил две проблемы файлов куки: SSL cookie используются без установки флага
"secure" и куки являются доступными после окончания аутентификационных сессий.
В первом случае все куки, включая JSESSIONID и LEO_AUTH_TOKEN, хранятся в
виде простого текста. Поскольку эти куки, по всей видимости, содержат информацию
о сессии, они могут быть перехвачены во время установленной сессии LinkedIn.
Срок действия сессии, пожалуй, более серьезная проблема. Так как куки
остаются в компьютере после того, как сессия закончилась, злоумышленник может
использовать чьи-то чужие куки чтобы восстановить связь с аккаунтом (очевидным
примером является доступ к компьютеру напарника).
Когда Наранг определил этот недостаток, куки действовали в течение года, а не
удалялись по окончании сессии. "В результате, всего за 15 минут я мог
благополучно получить доступ к нескольким активным аккаунтам, которые
принадлежат физическим лицам из различных мест", - написал он.
Наранг говорит, что можно сократить срок действия куки если пользователь
изменит пароль LinkedIn, выйдет из системы и войдёт в систему снова с уже новым
паролем.
LinkedIn ответил, что сокращает срок действия куки до 90 дней и рекомендует
использовать защищённые сети Wi-Fi или сети VPN для доступа. Их ответ, полный и
неотредактированный, выглядит следующим образом:
"Если вы находитесь на LinkedIn или на любом другом сайте, было бы здорово,
если бы вы выбирали надежные и зашифрованные сети Wi-Fi или VPN для доступа.
Если это невозможно, мы уже поддерживаем SSL для логина и других
конфиденциальных веб-страниц. Теперь мы увеличиваем темпы внедрения SSL по всему
сайту на основе согласия пользователя. И мы собираемся сократить срок действия
куки с 12 месяцев до 90 дней.
LinkedIn серьёзно относится к приватности и безопасности наших пользователей,
хотя также стремится поделиться большими возможностями сайта, и мы считаем, что
эти два изменения позволят нам обрести баланс."
|
, 
