网络安全研究机构Digital Society表示,Twitter和Facebook容易受到攻击,可能导致用户账户被他人控制。
据Digital Society称,两家网站的主要问题是均不支持完整的安全套接层(以下简称“SSL”)保护。在默认状态下,它们均会为用户建立未经加密的会话。尽管登录是加密的,但不需要验证,这意味着用户可以阻止浏览器中的安全信息,以校验站点身份。
Digital Society发现,即使用户使用安全会话(https://twitter.com或https://facebook.com),两家网站仍含有指向站点不安全部分的链接,传输校验Cookies的JavaScript代码也没有使用SSL。
不久前,有人发布了一款名为FireSheep的FireFox浏览器插件。即使是那些计算机知识有限的人,也可以通过它利用未经加密的Wi- Fi网络,劫持其他用户的网页账户。Digital Society的报告阐述了使用FireSheep或其他数据包嗅探软件的黑客所能造成的危害。例如,如果黑客劫持了Facebook账户,就可以使用包括状态更新和阅读私人信息在内的一切功能,除了不能更改用户名和密码。
在Digital Society检验的11家网站中,只有Gmail被评为“A”级,Hotmail和Flickr均为“D-”级。微软已经承诺修复Hotmail的漏洞,Facebook也表示正在提高安全性。
