I profili di LinkedIn a rischio dirottamento

LinkedInUn ricercatore di sicurezza ha detto che ci sono alcune vulnerabilità nel modo in cui i cookie sono stati gestiti dai profili LinkedIn e mette a rischio di manomissione i profili utente.

Rishi Narang, un anziano ex consulente finanziario ha detto che intercettando i cookie che le sessioni dell’utente creano, il profilo potrebbe essere dirottato. Un utente malintenzionato potrebbe mantenere l’accesso ad un account sul sito, nonostante la reimpostazione della password perché i cookies saranno ancora validi dopo la modifica.

I cookies sono vulnerabili ad un tipo di attacco man-in-the-middle perché il sito viene ripristinato dopo essersi collegati con https con il protocollo http.

LinkedIn non ha trovato alterazioni alle informazioni nei cookies creati da sessioni valide, Narang ha scritto sul suo blog: “In soli 15 minuti, sono stato in grado di accedere con successo a più account attivi appartenenti a persone provenienti da diverse località del pianeta, molte volte in questi mesi sono entrato nei loro account, ed il loro cookies erano sempre validi.

Un aggressore può annusare i cookies da una sessione di testo in chiaro e quindi utilizzarli per autenticare le loro sessioni. Egli può quindi compromettere e modificare le informazioni disponibili alla pagina del profilo utente. Anche se il dominio che ha rilasciato il cookie non ospita alcun contenuto a cui si accede su HTTP, un aggressore potrebbe essere in grado di utilizzare i collegamenti della forma https://www.linkedin.com ed eseguire lo stesso attacco”

LinkedIn ha detto che sta valutando la realizzazione di opt-in cioè parti di pagine web con il supporto HTTPS per evitare questi problemi.

“Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere per collegarsi reti WiFi criptate o [reti private virtuali], ogni qualvolta sia possibile,” ha detto la società in un comunicato.

“LinkedIn prende la privacy e la sicurezza dei nostri membri sul serio, come il [secure sockets layer] per i login e le altre pagine web riservate. Inoltre, stiamo valutando opt-in con supporto SSL per le altre parti del sito che saranno disponibili nei prossimi mesi per evitare questi problemi di sicurezza in futuro”.

Collegare GitHub a LinkedIn

Oggi siamo lieti di annunciare una nuova applicazione che abbiamo aggiunto alla piattaforma di LinkedIn: GitHub per LinkedIn.

Add GitHub for LinkedIn

GitHub è un modo fantastico per gli sviluppatori di collaborare con altri sviluppatori su vari progetti software. Ospita codice per molti progetti open-source di spicco, tra cui LinkedIn. Con più di 600.000 sviluppatori e oltre 1,8 milioni di progetti, GitHub è essenziale per sviluppatori e professionisti di tutto il mondo.

Gli sviluppatori di software sanno che il codice che hanno scritto è una delle parti più importanti della loro identità professionale. Esso mostra il loro coinvolgimento, interesse e dedizione al loro lavoro. Ora gli sviluppatori possono presentare i loro progetti su LinkedIn – la più grande comunità di professionisti del mondo.

Leggi tutto “Collegare GitHub a LinkedIn”

Linkedin: la nuova richiesta di connessione in stile facebook

Linkedin è un servizio di social networking in rete impiegato principalmente per la rete professionale. Anche se da quando sono iscritto , oramai 3 anni, non mi è arrivata nessuna proposta di lavoro continuo ad usarlo perchè si possono conoscere e contattare tanti colleghi che fanno il mio stesso lavoro.

Inoltre a differenza del più famoso FaceBook essendo specializzato al mondo del lavoro ed in particolare dei lavori che ruotano intorno alla tecnologia, per adesso non è invaso da tutto lo “spam”/spazzatura stile FaceBook. Stamattina mentre richiedevo la connessione (in FaceBook è l’amicizia) ad un collega mi sono accorto che è cambiato in questo modo:

Leggi tutto “Linkedin: la nuova richiesta di connessione in stile facebook”