关键词:Cookies;密码;隐私;跟踪**
一、什么是Cookies
Cookies在英文中是小甜品的意思,这个词我们经常能在浏览器中看到,那么,食品怎么会跟浏览器扯上关系呢?在我们浏览以前登陆过的网站时网页中可能会出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问我们主机里的一个文件来实现的,这个文件就被称为Cookies。
Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。即当我们浏览某个网站时,由Web服务器放置于硬盘上的一个很小的文本文档(Cookies),它能够记录用户的ID、密码、浏览过的网页、访问次数、访问时间、停留的时间和用户进入站点的路径等信息。当我们再次来到该网站时,网站通过读取Cookies,得知我们的相关信息,就能够做出相应的动作,如在页面显示欢迎的标语,或不用我们再输入ID、密码就可以直接登录等。从本质上讲,Cookies能够看作是个人的身份证,但它不能作为代码执行,也不会传送病毒,且为个人所专有,并只能由提供它的服务器来读取。总之,网站可以通过Cookies文件记录用户的隐私,了解用户浏览的信息。
一个网站只能取得它放在用户本人电脑中的信息,无法从其它的Cookies文档中取得信息,也无法得到用户电脑上的其它任何东西。 Cookies中的内容大多数经过了加密处理,因此一般用户看来只是一些毫无意义的字母数字组合,只有服务器的CGI处理程式才知道他们真正的含义,通过一些软件我们可以查看到更多的内容,如Cookie Pal软件等。
**
二、Cookies的安全问题
**
用户不用害怕自己的行踪都被网站掌握,这些信息在一般情况下不会带来什么大麻烦。但Cookies的作用其实是很大的:有些网站据此统计用户信息,可以为用户实现个性化服务,如用户可以在不键入用户名和密码的情况下直接进入曾经浏览的某些站点,Cookies还可以加快浏览网页的速度等。
不过,自己被网站悄悄跟踪实在不是件愉快的事,更何况,难免有些恶意站点通过这个“小甜饼”给用户制造点小麻烦,比如把E-mail地址等信息卖给商业网站,使用户的信箱充满垃圾邮件等。所以,随着Cookies技术与用户隐私权的矛盾日益突出,有两个 Cookies的安全问题需要引起用户的关注。
1.Cookie欺骗
Cookie记录着用户的帐户ID、密码等信息,如果在网上传递,通常使用的是MD5方法加密,这样经过加密后的信息即使被网络上一些别有用心的人截获,通常也看不懂。然而现在遇到的问题是,截获Cookie的人不需要知道这些字符串的含义,而只要把别人的Cookie向服务器提交,并且能够通过验证,他们就可以冒充受害人的身份登陆网站,这种方法叫做Cookie欺骗。Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞,并且冒充者要获得被冒充的人的Cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的,而且获得别人的Cookie是很容易的:用支持Cookie的语言编写一小段代码就可以实现,只要把这段代码放到网络里,那么所有人的Cookie都能够被收集。至于如何防范,目前还没有特效药,只能使用通常的防护方法,不要在论坛里使用重要的密码,也不要使用IE自动保存密码的功能,以及尽量不登陆不了解底细的网站。
2.Flash的代码隐患
Flash中有一个get URL()函数,Flash可以利用这个函数自动打开指定的网页,因此它可能把用户引向一个包含恶意代码的网站。打个比方,当你在自己电脑上欣赏精美的Flash动画时,动画帧里的代码可能已经悄悄地连上网,并打开了一个极小的包含有特殊代码的页面,这个页面可以收集你的Cookie,也可以做一些其它的事情,比如在你的机器上种植木马甚至格式化你的硬盘等等。对于Flash的这种行为,网站是无法禁止的,因为这是Flash文件的内部行为。因此,对于用户来说,如果是在本地浏览尽量打开防火墙,如果防火墙提示向外发送的数据包并不为你知悉,最好禁止;如果是在Internet上欣赏,最好找一些知名的大网站。