Сразу после выхода на биржу эксперт в области компьютерной безопасности Риши
Наранг обвинил сайт LinkedIn в слабой безопасности.

Наранг, опубликовавший своё

исследование
, касающееся файлов cookie, которые генерирует сайт LinkedIn,
определил две проблемы файлов куки: SSL cookie используются без установки флага
"secure" и куки являются доступными после окончания аутентификационных сессий.

В первом случае все куки, включая JSESSIONID и LEO_AUTH_TOKEN, хранятся в
виде простого текста. Поскольку эти куки, по всей видимости, содержат информацию
о сессии, они могут быть перехвачены во время установленной сессии LinkedIn.

Срок действия сессии, пожалуй, более серьезная проблема. Так как куки
остаются в компьютере после того, как сессия закончилась, злоумышленник может
использовать чьи-то чужие куки чтобы восстановить связь с аккаунтом (очевидным
примером является доступ к компьютеру напарника).

Когда Наранг определил этот недостаток, куки действовали в течение года, а не
удалялись по окончании сессии. "В результате, всего за 15 минут я мог
благополучно получить доступ к нескольким активным аккаунтам, которые
принадлежат физическим лицам из различных мест", — написал он.

Наранг говорит, что можно сократить срок действия куки если пользователь
изменит пароль LinkedIn, выйдет из системы и войдёт в систему снова с уже новым
паролем.

LinkedIn ответил, что сокращает срок действия куки до 90 дней и рекомендует
использовать защищённые сети Wi-Fi или сети VPN для доступа. Их ответ, полный и
неотредактированный, выглядит следующим образом:

"Если вы находитесь на LinkedIn или на любом другом сайте, было бы здорово,
если бы вы выбирали надежные и зашифрованные сети Wi-Fi или VPN для доступа.

Если это невозможно, мы уже поддерживаем SSL для логина и других
конфиденциальных веб-страниц. Теперь мы увеличиваем темпы внедрения SSL по всему
сайту на основе согласия пользователя. И мы собираемся сократить срок действия
куки с 12 месяцев до 90 дней.

LinkedIn серьёзно относится к приватности и безопасности наших пользователей,
хотя также стремится поделиться большими возможностями сайта, и мы считаем, что
эти два изменения позволят нам обрести баланс."



Оставить мнение