据路透社报道，印度一名互联网安全专家周日表示，美国商务人士社交网站LinkedIn存在一些安全漏洞，导致黑客无需得到密码，便能够以原始用户身份访问该网站。 LinkedIn上周四在纽约证券交易所上市交易，当天开盘价为83美元，全天上涨约109%，报收93.86美元。以上周四收盘价为标准，LinkedIn市值已达88.6亿美元。多数业界人士认为，在LinkedIn上市取得成功后，其他热门互联网创业公司也将相继跟进，进而掀起新一轮科技公司IPO热潮。 印度独立互联网安全研究人员里什·纳朗(Rishi Narang)周日在接受路透社采访时称，LinkedIn网站存在的安全漏洞，与该公司管理常规数据cookie文件的方式有关：当用户输入正确用户名及密码后，LinkedIn后台系统将在用户机器上创建一个名为“LEO_AUTH_TOKEN”的文件，以充当用户访问自己LinkedIn帐号的密码。 纳朗表示，虽然其他网站也使用类似cookie文件管理方式，但LinkedIn在用户机器上创建的cookie文件，通常一年后才会期满。纳朗周日还在其个人博客中阐述了LinkedIn安全漏洞的更多细节。 密码有效期限 纳朗称，虽然绝大多数商业网站也会在用户机器上创建一个cookie密码文件，但此类文件将于24小时后失效。如果用户退出登录，则有效期将更短。而银行网站对于此类文件的管理更为严格：如何用户登录后在5~10分钟内没有任何活动，网站将自动将用户处理为非登录状态。谷歌则允许用户将帐号登录状态有效期设定为数周，但该选项首先需得到用户确认。 LinkedIn在用户机器上所创建cookie文件有效期过长，意味着在长达一年的时间内，任何人从特定LinkedIn用户机器中获取相应cookie文件后，便可将该文件加载到自己PC机上，并以原始用户身份访问LinkedIn网站。 LinkedIn周日晚些时候在一则声明中称，公司已经在采取相应措施，以保护用户帐号安全，“LinkedIn非常重视用户隐私和安全保护问题。无论你是访问LinkedIn或其他网站，都应选择值得信任和经过加密的Wi-Fi网络或虚拟专用网( V PN)。” LinkedIn还表示，公司目前已经支持安全套接层协议(SSL)技术，该技术可对用户登录数据等隐私信息进行加密。但纳朗认为，LinkedIn在用户机器上创建的cookie密码管理文件并未使用SSL技术，黑客们可使用网上常见的流量嗅探工具，以获取LinkedIn用户机器上的cookie文件。 LinkedIn在声明中还表示，公司已计划对网站其他部分提供SSL技术支持，即用户机器的cookie文件也将纳入到LinkedIn的SSL技术管理当中。LinkedIn称，将在今后数月内正式实施这一措施。但对于纳朗所指出用户机器cookie文件有效期长达一年的问题，LinkedIn没有作出正面回应。[来源：IT商业 新闻 网]