5月23日消息，据国外媒体报道，商务社交网站LinkedIn被发现存在安全漏洞，致使黑客不需要密码即可查看用户账户。此前LinkedIn上周四刚刚在纽交所上市。

　　印度独立互联网安全研究员Rishi Narang发现了该问题，并于上周日告诉媒体此事，称该漏洞与LinkedIn对cookie的管理方式有关。

　　在用户输入用户名和密码登陆账号后，LinkedIn的系统便在用户电脑上创建名为“LEO_AUTH_TOKEN”的cookie文件，再次登陆账号时就无需输入密码。

　　Narang称，许多网站都是用此类cookie，但LinkedIn的不同在于其cookie有效期长达一年。

　　而大多数商业网站的cookie有效期为24小时以内。不过也有例外，如银行网站会在用户闲置5到10分钟后关闭以保护安全。谷歌允许用户保持登陆几周，但会让用户事先选择。

　　LinkedIn的做法意味着任何掌握了cookie文件的人都可登陆PC，在长达1年时间内轻松访问正牌用户的账号。

　　LinkedIn发表声明称，该公司已采取措施确保用户账户安全，目前LinkedIn已支持SSL以加密特定数据，包括账号登陆数据。

　　但Narang表示，这些cookies未支持SSL，黑客可以利用常见的探测工具窃取cookie。

　　LinkedIn称，公司准备对网站部分功能提供可选择的SSL支持，允许对cookies进行加密，预计在未来几个月内实现。

　　但LinkedIn拒绝对Narang所称的LinkedIn cookie有效期1年的批判作出回应。

　　Narang表示，问题尤为严重，因为LinkedIn的用户没有意识到这个问题，且不知道该如何保护cookies。

　　Narang称，他在LinkedIn开发者论坛里发现用户上传了4个LinkedIn cookies，他下载了这些 cookies并成功访问了这4个LinkedIn账户。（