De geldigheidsduur van de bestandjes die gebruikers authenticeren gaat omlaag van een jaar tot slechts drie maanden, zo meldt het bedrijf aan de Britse site The Register.

SSL op de hele site

Die maatregel volgt op een ontdekking van de Indiase onderzoeker Rishi Narang. Hij openbaarde eerder deze week dat alle sessie cookies van LinkedIn verstuurd konden worden over een onbeveiligd netwerk. Ook als de gebruiker inlogt via SSL. Zo zijn ze eenvoudig te vangen door aanvallers. De cookies blijven een jaar geldig en verlopen niet als ze uitloggen. Hackers hebben dus ruim de tijd om gegevens te oogsten.

Naast het verkleinen van de levensduur van de cookies, gaat LinkedIn ook SSL uitrollen. Die beveiligde verbinding is nu alleen nog mogelijk tijdens het inloggen. Bovendien beveiligt deze verbinding niet goed genoeg omdat de cookies altijd nog onbeschermd over het internet gaan. LinkedIn gaat daarom SSL-beveiliging op haar hele website toevoegen.

Beveiliging blijft opt-in

Het bedrijf zegt zelf dat zij dat al van plan was, maar gaat de uitrol nu versnellen. De SSL-beveiliging blijft overigens op opt-in basis. Gebruikers moeten dus zelf in hun instellingen aan gaan geven of zij wel beveiligd willen worden. Het bedrijf stelt dat het de privacy en beveiliging van haar gebruikers belangrijk vindt.

Dat moet echter niet ten koste gaan van de gebruikerservaring van de website, zo stelt LinkedIn. Met deze maatregelen zou de balans tussen beveiliging en ervaring in orde blijven. Het bedrijf raadt gebruikers bovendien aan om, indien mogelijk, altijd een beveiligde WiFi-verbinding of een VPN-verbinding te gebruiken.