关于Cookie：你必须知道的事

在今年的中央电视台315晚会中, 对用户网络隐私权的侵犯行为成为被曝光的对象之一，央视通过调查曝光了易传媒、上海传漾、悠易互通、品友互动等多家网络广告公司利用浏览器cookie数据跟踪用户的行为，同样被点名的还有门户网站网易。央视指出，上述公司在刻意收集用户浏览网站时留下的cookie数据，并在用户不知情的情况下擅自调用这些cookie以达到盈利目的。

一时间“cookie”这个平时只有技术人员才关注的名词，引起了多方关注。它看上去离我们很远，其实很近：只要上网，就要接触cookie。上网时，你电脑的IP、点击行为、输入网站的信息等，如果网站认为有需要，便会将这些信息写到你电脑的一个文件夹里面。此后当你每次访问该网站时，相关的cookie记录便会自动回传到网站。网站也可以更改或清除你电脑上已经被记录的cookie。用手机浏览器上网时，也会使用到cookie。

信息时代，人们享受互联网便利的同时，也在把自己更多地暴露在别人的注意力之下。越来越多的人都在接触cookie技术，因此有关cookie的话题才会引起如此关注。根据中国互联网络信息中心（China Internet Network Information Center，简称CNNIC）最新发布的《第31次中国互联网络发展状况统计报告》，截至2012年底，我国网民共有5.64亿，互联网普及率占到人口总数的42.1%。而随着移动互联网的发展，这个趋势将延续。另据CNNIC的数据，截至去年底，我国手机网民的规模为4.2亿，网民中使用手机上网的用户占比由上年底的69.3%提升至74.5%。

相对于互联网的飞速发展，与之相关的隐私保护法律和行业规定显得滞后。关于cookie，到底谁能操作、能否公开、用户对cookie的控制权和知情权等问题，国内的法律法规和行业约定几乎是空白，而欧美已有相关的立法和案例。如2012年5月，欧盟法律做出明确规定，如果用cookie追踪用户的使用习惯，网站必须取得使用者的“明确同意”。

那么cookie究竟是啥？这个名为“小甜饼”的技术，最初是程序之间交流的一种数据包，在互联网上是一种基于浏览器和网站的技术，主要目的是为了让网站记录用户的一些信息，以便用户下次访问网站时能认出他。 Cookie的出现最初是为了解决实际问题：为了网站开发人员能方便地“记住”用户，可在用户每次访问时提供更方便、更有针对性的功能。就像《贱人就是矫情》那篇科技博客里说的那样，不会让大老爷们看到弹力贴身卫生棉的广告。

《打造Facebook》的作者王淮认为，cookie就是一种工具。不应该打压这种工具本身，而是应该打压利用这种工具的恶意行为。知名互联网观察家、5G咨询合伙人洪波也认为，从Facebook、谷歌来看，互联网的发展正是以牺牲所谓的隐私来换取个性化和精准化的体验，在不对用户造成困扰的情况下，用户应看轻隐私问题，提升隐私容忍度。博客中国创始人方兴东也指出，媒体对cookie的片面化、简单化、妖魔化的报道，引起用户无谓的恐慌，不利于认清与解决问题。Cookie的有效合理使用，是互联网的优势所在，也是互联网的价值，不能把cookie问题简单化绝对化，应该防止滥用，而不是不用。

它确实带来了便利。自动登录是怎么实现的呢？当用户第一次选择自动登陆时，网站会在cookie里存储一个随机码；下次访问时网站会将浏览器上传cookie的随机码和服务器数据库中保存的随机码进行比对，如果吻合则直接登录。同时网站的“在本机上记住我”、“一个月内不再输入”等提示、用户设定为自动填充的账号和密码；还有视频网站在用户退出情况下保存的观看历史、购物网站在用户退出登陆情况下仍保留的购物车；网站的注册页面可以看到的输入框的下拉提示；手机访问百度时，下拉框的历史记录所有这些功能都利用了cookie技术。

Cookie技术设计本身其实充分考虑了安全性，尽管当时对此并没有任何规定。比如A网站存储的cookie，只有A网站才可以读取；另外cookie也是有“保质期”的，网站可以在任何一次访问时清理掉用户设备上的cookie。同时cookie被限制在4k的容量内，这意味着所能存储的信息非常有限；cookie传递过程支持加密数据传送等。

然而由于与操作系统、浏览器、网站和网络这四个因素密切相关，这使cookie存在很多敞口风险。事实上通过网站的服务器端代码、浏览器、网站在浏览器上的脚本都可以抓取到cookie，第三方cookie查看软件、桌面软件如记事本、黑客使用的抓包工具通这些途径也能看到cookie。因此这四个因素中任何一个环节存在漏洞都可能导致cookie的不安全。

Cookie能存什么信息是由网站决定的。如果网站愿意，可以将用户的账号、密码等任何文字信息存储到cookie。因此如果网站存在缺陷，比如将密码直接明文存到cookie，或者允许第三方代码访问自己用户的cookie，并且对第三方代码不加以审核控制，都可能出现安全问题，更不用说如果网站直接将拥有的cookie数据售卖。正常的网站，不但自己不会滥用cookie，还会处处考虑用户在上网环境、操作系统、浏览器、网络环境等潜在的异常情况，并防患未然，做好相关设计以避免cookie被泄露，比如做加密传送、有效期设置、提醒等。

2011年，国外研究人员发现IE浏览器存在名为cookiejacking的安全漏洞，容易导致网络帐号和密码泄露，最新版IE已修复该问题。像支付宝这样对安全性要求极高的网站，则直接开发了一个浏览器控件，也可以实现记住用户账号的目的。

Cookie和网站安全性设计的前提都是：浏览器是安全的，是不会偷窥用户私密数据的。如果浏览器存在漏洞，就可能给黑客可乘之机，获取cookie文件。另外浏览器主观伪造、利用用户cookie，在技术上也是可行的。

由于cookie对操作系统开放， 所以第三方软件甚至记事本也可以查看到电脑上的cookie内容。如果操作系统有漏洞或者Office软件有漏洞等，都可能导致cookie不安全。比如密码，虽然用“*”型代替了，但通过“星号密码查看器”这种小软件就可以轻松破解。

Cookie的另一重风险，则是随意接入未知的Wi-Fi网络。虽然几率很小，但如果遇到隐藏的钓鱼Wi-Fi，黑客们也会守株待兔，等着借此抓取用户数据包，也包括cookie。2012年沈阳警方和上海警方证实了钓鱼Wi-Fi存在。一旦联入，黑客在15分钟之内就可以窃取上网用户的个人信息和密码，包括网银密码、炒股账号密码等。黑客的作案场所基本在提供免费上网的地方。当然还有人为因素，如果你身边的人使用你的电脑，有心且懂技术，更可直接通过第三方软件查看和分析电脑上的cookie数据。

如果真的像315晚会说的那样，对cookie所有者而言又有什么危害？举个例子，如果打印文件被泄露了会有什么后果？这要看你打印的具体内容是什么，以及泄露给谁了。同样是打印文件，如果内容是商业机密，并泄露给了竞争对手，那么后果就很严重了。虽然是小概率事件，但隐私和安全问题一样，一旦发生后果却很严重。我们可以把cookie想像成是通过浏览器“打印”的文件。Cookie泄露会有什么后果，关键在于被人看到了什么、以及谁看到了。 然而从隐私的角度出发，或许很少有人愿意不经允许地被窥视、被分析。

理论上来说，地域、性别等信息的私密程度较低；浏览历史、用户名等信息稍微敏感；如果涉及到密码、姓名等信息则极度私密了。如果是广告公司做精确营销，问题不是那么严重，因为他们只知道有这么个人，更确切说有“这么一台电脑”，很难知道这个人究竟是谁。这如同“七成网民曾浏览过色情网站”和“张同学经常浏览成人网站”的区别。但如果是调查公司拿到这些数据，问题就不一样了：他们可能通过cookie找到具体个人，商业侦探也可能通过cookie的关联提取出来很多商业信息。

作为无法脱离互联网的普通人，我们如何与cookie和平共处？首先使用在业界知名度高，值得信任的网站；并且不同网站要使用不同的账号和密码。不要提交私密信息给不信任的网站，包括姓名、身份证号、住址、公司、银行账号信息等。

鉴于浏览器是cookie的基础，因此使用一款安全的浏览器非常重要，慎重使用不知名的浏览器。浏览器是否安全有哪些指标呢？除了不会乱收集数据，还应具有设置安全、隐私、防追踪等的能力。

如果不是技术专家，最好不要“裸奔”，一定要装安全软件，包括可靠的杀毒软件和安全管理软件，同时建议使用正版操作系统和正版软件，并及时给操作系统打补丁，减少漏洞。这样就可以确保cookie不会在操作系统层面被泄露。

如果对安全要求高，还要定期清理cookie或者使用一些特殊设置。360、QQ电脑管家等软件清理浏览器cookie。实际上IE浏览器可以设置为不使用cookie，不过操作比较复杂。但包括QQ浏览器等都有隐私浏览功能或者“退出时清理”这类设置，不会使用和记录cookie。

如果315晚会对cookie的关注，能引起人们对互联网安全和隐私的重视，则必将促进整个互联网行业的发展。这将促使下一个版本的浏览器、安全软件可以为用户提供更有效的保护，需求永远是第一推动力。

罗超为互联网从业者，SuperSofter博客(www.xiaoshejian.com)创始人。

来源：纽约时报中文

如果您的阅读器看不到图片，请订阅 http://feed.luobo8.com/ 即可显示图片。

部分文章附有精彩小视频，如果您的阅读器无法观看视频，请移步原文链接： http://luo.bo/37791/

您可能对以下文章感兴趣：
网易一周图片精选（2011.9.3—9.9）	你要花多少钱才能当上蝙蝠侠？	德国人信奉的20大人生哲理	鲁智深撸自身撸至深处鲁自呻	微语录精选0722：雁过拔毛，水退贴条
来自无觅网络的相关文章：
iPhone饼干:iPhone Cookies (@uuhy)	火柴饼干：Matchstick Cookies (@ixiqi)	瑜伽小人饼干：Yoga Cookies (@ixiqi)	夹心饼干造型的保护套：Cookies (@ixiqi)	LOMO控无法抗拒的甜蜜~相机翻糖饼干：Camera Cookie (@ixiqi)
无觅