Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 25/5/2011
To sikkerhedshuller i LinkedIn kan give uvedkommende adgang til andres konti. Tjenesten har begrænset risikoen og arbejder på at lukke hullerne.LinkedIn er et socialt netværk. Sikkerhedsforsker Rishi Narang har opdaget to sårbarheder i den måde, tjenesten håndterer login på. De kan fx udnyttes, hvis man bruger LinkedIn på et usikkert trådløst netværk.
Den ene sårbarhed går ud på, at uvedkommende kan opsnappe cookies. Ganske vist bruger LinkedIn kryptering med SSL (Secure Sockets Layer) til login. Men når brugeren er logget ind, skifter den over til en ukrypteret forbindelse, hvor de samme cookies sendes ukodet.
Den anden sårbarhed består i, at en cookie er gyldig i et år, selvom brugeren har logget ud.
LinkedIn har begrænset risikoen ved at sætte levetiden for cookies ned til 90 dage. Endvidere arbejder tjenesten på at tilbyde SSL-kryptering på alle sider, men det er ikke klar endnu.
Anbefaling
Undgå at bruge LinkedIn fra trådløse netværk uden kryptering eller andre usikre netværk.