Artykuły dotyczące tematu: LinkedIn

dodany: 30.07.2013 | tagi: , , , ,

LinkedIn załatał poważną lukę

0

Serwis LinkedIn załatał dość poważną lukę, która pozwalała na przejęcie tokena dowolnego użytkownika. Błąd leżał konkretnie w otwartym standardzie uwierzytelniania OAuth, który wykorzystują także serwisy Facebook, Twitter oraz FourSquare.

Słabość odnalazł brytyjski deweloper oprogramowania Richard Mitchell. Luka zaszyta w implementacji OAuth pozwalała na pobranie tokena, poprzez błąd w API, który zwracał tokena w przypadku żądania wyświetlenia systemu pomocy przez JavaScript.

Wykorzystanie luki było jak najbardziej realne – jeśli atakujący użyłby jakiejkolwiek sztuczki, która by skusiła ofiarę do uruchomienia systemu pomocy  LinkedIn, mógłby zrobić z stroną nieświadomego użytkownika cokolwiek, np. zmienić nasze CV. Trzeba zaznaczyć,  że przejęcie tokena jest równoznaczne z możliwością zalogowania się na konto. Pomóc w tym mogłaby np. odpowiednio spreparowana strona z zachęcającym linkiem.

Na szczęście LinkedIn naprawił lukę w ciągu 48 godzin od daty zgłoszenia.

dodany: 31.05.2013 | tagi: , ,

LinkedIn i Evernote bezpieczniejsze w korzystaniu

1

Znany serwis LinkedIn postanowił zwiększyć bezpieczeństwo dla swoich użytkowników wprowadzając opcję dwuetapowego uwierzytelniania.  Aby ją aktywować musimy podać swój numer telefonu komórkowego, gdyż dodatkowy etap uwierzytelniania polega na wpisaniu jednorazowego hasła SMS.

Włączenie tej opcji znajdziemy w ustawieniach naszego konta – potem przechodzimy na zakładkę KONTO, a następnie wybieramy Zarządzanie ustawieniami bezpieczeństwa:

Ustawienia bezpieczeństwa

Ustawienia bezpieczeństwa.

Po wybraniu opcji Włącz zostaniemy poproszeni o podanie numeru telefonu:

nr tel linkedinOstatnim krokiem jest podanie otrzymanego hasła SMS.

Evernote też nie gorszy

Także użytkownicy usług Evernote powinni się cieszyć większym bezpieczeństwem, gdyż tutaj także doczekaliśmy się dwuetapowego uwierzytelniania. Tym bardziej cieszy ten fakt, że od paru dni serwis ten jest dostępny także w języku polskim. Jak nie trudno się domyślić, opcja ta dotyczy niestety tylko płatnych edycji usług Evernote Premium oraz Business.  Podobnie jak w przypadku LinkedIn także tutaj drugi etap uwierzytelnienia następuje poprzez podanie jednorazowego hasła wysłanego SMS-em na nasz numer telefonu:

Źródło: blog.evernote.com

Źródło: blog.evernote.com.

Kod ma długość 6 znaków. Stosowną opcję znajdziemy w ustawieniach naszego konta, a potem wybierając zakładkę Bezpieczeństwo.

Nie jest to jedyne ulepszenie kontroli bezpieczeństwa – pojawiła się także historia logowań, która jest dostępna także w przypadku bezpłatnej wersji usługi:

Historia przeglądania evernote

To jednak nie koniec nowych funkcji polepszających bezpieczeństwo – kolejną opcją jest wybór autoryzacji aplikacji, która pozwala nam wybrać te aplikacje, na których nie będziemy musieli za każdym razem logować się. Dzięki temu w razie zgubienia urządzenia możemy odmówić uruchomienia aplikacji bez potrzeby uwierzytelnienia, aby osoba postronna nie uzyskała dostępu do naszych notatek:

Źródło blog.evernote.com

Źródło blog.evernote.com

Opcja ta jest także dostępna dla wszystkich użytkowników.