В программном обеспечении сети LinkedIn найдена уязвимость безопасности

Профессиональная социальная сеть LinkedIn имеет в своем программном обеспечении ряд уязвимостей, ставящих под угрозу пользовательские аккаунты и позволяющих потенциальным взломщикам получать доступ к данным участников LinkedIn без соответствующего разрешения. Об этом сообщают независимые индийские ИТ-специалисты, работающие в рамках проекта WTFuzz.



 Риши Наранг, независимый ИТ-специалист, говорит, что технически уявзимость связана с файлами-идентификаторами, так называемыми cookie, которые выдаются пользовательскому браузеру для идентификации со стороны самой LinkedIn как легитимного пользователя. Проблема заключается в том, что серверное ПО создает cookie под общим именем LEO_AUTH_TOKEN, который действует без истечения целый год, передает cybersecurity.

Наранг говорит, что подавляющее большинство сайтов сейчас выдают клиентским компьютерам cookie для идентификации, но большинство этих файлов имеют срок истечения от 30 до 180 минут, после чего клиенту необходимо авторизоваться повторно. По непонятным причинам у LinkedIn срок жизни cookie был увеличен до 1 года.

По словам Наранга, cookie с большим сроком жизни - это удобно для легитимного пользователя, так как позволяет ему избегать лишних вводов логинов и паролей, но с другой стороны перехват таких файлов дает все эти преимущества хакеру. Дополнительную угрозу создает и тот факт, что передаются cookie по открытым каналам связи, без какого-либо шифрования.

Технически, говорят индийские специалисты, верным решением было бы как минимум сократить срок жизни cookie до 30-60 минут, а также предоставить пользователям на выбор возможность входа через систему SSL.

Наранг говорит, что многие сайты имеют не совсем корректно выставленное время жизни cookie, однако в случае в LinkedIn эта проблема приобретает острый характер ввиду того, что пользователи этой сети оставляют здесь массу своих персональных и деловых данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Российский бизнес накажут рублем за использование зарубежного софта

В Минцифры России обсуждают возможность введения платы для юрлиц за использование зарубежного софта: там считают, что подобная мера способна ускорить процесс импортозамещения. Об этом поведал на TAdviser SummIT глава министерства Максут Шадаев.

Трансляция конференции велась в телеграм-канале Минцифры. Основные моменты диалога министра с главредом TAdviser публиковались в Эфире Минцифры.

В ходе выступления Шадаев признал, что запреты российским компаниям не помеха: они научились использовать серые схемы импорта, обновлять установленные продукты иностранного производства. Поскольку подход оказался малоэффективным, Минцифры решило опробовать другие способы стимулирования.

«Первое: мы считаем, что нужно создать дополнительные экономические стимулы для бизнеса переходить на российские решения и это должно быть связано с определенными налоговыми мотивациями, — цитирует ТАСС заявление министра. — И второе, все-таки, если ты используешь зарубежный софт, мы в любом случае обсуждаем вопрос введения определенной платы, сбора за использование зарубежного софта».

Три недели назад Владимир Путин подписал указ «О национальных целях развития Российской Федерации на период до 2030 года и на перспективу до 2036 года». Документ в числе прочего определяет задачи на пути к достижению национальной цели — цифровизации госуправления, экономики и социальной сферы.

Указ также устанавливает целевые показатели. В частности, к 2030 году на отечественный софт должны перейти не менее 80% организаций ключевых отраслей экономики (видимо, назначенный ранее срок импортозамещения до 2025 года все-таки оказался нереальным). Доля российских программных продуктов в госсекторе к 2030 году должна возрасти до 95%.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru