原创 社交网站LinkedIn存安全漏洞

导读：许多IT公司和网络应用因为对用户网络信息安全的保护力度不够，而广遭诟病。近日刚上市不久的商务人士社交网站LinkedIn因为处理用户Cookie的方式太过危险，而被印度网络安全专家指名批评。

俗话说金无足赤，人无完人，各种网络应用也一样，有一些安全漏洞是无可厚非的事情。但假如这些安全漏洞太过低级，低级到本可以轻而易举地避免和修复，那么一旦被人指责，就难免颜面尽失。刚上市不久的全球著名商务人士社交网站LinkedIn就是一例。

据路透社报道，一名来自印度的网络安全专家表示，LinkedIn存在严重的安全漏洞，这个漏洞导致黑客无需得到密码，便能够以原始用户的身份访问该网站。

网络安全专家表示，这个漏洞源于LinkedIn公司管理用户Cookie文件的方式。绝大多数商业网站都会存储保护用户帐号和密码在内的Cookie文件，但Cookie文件都有一个有效期。有的会在24小时后失效、有的则在用户退出登录后实效，但LinkedIn的Cookie文件的有效期则长达一年。这意味着在长达一年的时间内，任何人从特定LinkedIn用户机器中获取相应cookie文件后，便可将该文件加载到自己的PC机上，并以原始用户身份访问LinkedIn网站。

对此LinkedIn公司表示目前已经支持安全套接层协议(SSL)技术，该技术可对用户登录数据等隐私信息进行加密。但网络安全专家认为，LinkedIn在用户机器上创建的Cookie密码管理文件并未使用SSL技术，黑客们可使用网上常见的网络监控软件获取LinkedIn用户机器上的cookie文件。