关于Cookie:你必须知道的事

标签: 科技 Cookie 互联网隐私 | 发表时间:2013-03-26 21:12 | 作者:梁萧
出处:http://luo.bo

在今年的中央电视台315晚会中, 对用户网络隐私权的侵犯行为成为被曝光的对象之一,央视通过调查曝光了易传媒、上海传漾、悠易互通、品友互动等多家网络广告公司利用浏览器cookie数据跟踪用户的行为,同样被点名的还有门户网站网易。央视指出,上述公司在刻意收集用户浏览网站时留下的cookie数据,并在用户不知情的情况下擅自调用这些cookie以达到盈利目的。

一时间“cookie”这个平时只有技术人员才关注的名词,引起了多方关注。它看上去离我们很远,其实很近:只要上网,就要接触cookie。上网时,你电脑的IP、点击行为、输入网站的信息等,如果网站认为有需要,便会将这些信息写到你电脑的一个文件夹里面。此后当你每次访问该网站时,相关的cookie记录便会自动回传到网站。网站也可以更改或清除你电脑上已经被记录的cookie。用手机浏览器上网时,也会使用到cookie。

信息时代,人们享受互联网便利的同时,也在把自己更多地暴露在别人的注意力之下。越来越多的人都在接触cookie技术,因此有关cookie的话题才会引起如此关注。根据中国互联网络信息中心(China Internet Network Information Center,简称CNNIC)最新发布的《第31次中国互联网络发展状况统计报告》,截至2012年底,我国网民共有5.64亿,互联网普及率占到人口总数的42.1%。而随着移动互联网的发展,这个趋势将延续。另据CNNIC的数据,截至去年底,我国手机网民的规模为4.2亿,网民中使用手机上网的用户占比由上年底的69.3%提升至74.5%。

相对于互联网的飞速发展,与之相关的隐私保护法律和行业规定显得滞后。关于cookie,到底谁能操作、能否公开、用户对cookie的控制权和知情权等问题,国内的法律法规和行业约定几乎是空白,而欧美已有相关的立法和案例。如2012年5月,欧盟法律做出明确规定,如果用cookie追踪用户的使用习惯,网站必须取得使用者的“明确同意”。

那么cookie究竟是啥?这个名为“小甜饼”的技术,最初是程序之间交流的一种数据包,在互联网上是一种基于浏览器和网站的技术,主要目的是为了让网站记录用户的一些信息,以便用户下次访问网站时能认出他。 Cookie的出现最初是为了解决实际问题:为了网站开发人员能方便地“记住”用户,可在用户每次访问时提供更方便、更有针对性的功能。就像《贱人就是矫情》那篇科技博客里说的那样,不会让大老爷们看到弹力贴身卫生棉的广告。

《打造Facebook》的作者王淮认为,cookie就是一种工具。不应该打压这种工具本身,而是应该打压利用这种工具的恶意行为。知名互联网观察家、5G咨询合伙人洪波也认为,从Facebook、谷歌来看,互联网的发展正是以牺牲所谓的隐私来换取个性化和精准化的体验,在不对用户造成困扰的情况下,用户应看轻隐私问题,提升隐私容忍度。博客中国创始人方兴东也指出,媒体对cookie的片面化、简单化、妖魔化的报道,引起用户无谓的恐慌,不利于认清与解决问题。Cookie的有效合理使用,是互联网的优势所在,也是互联网的价值,不能把cookie问题简单化绝对化,应该防止滥用,而不是不用。

它确实带来了便利。自动登录是怎么实现的呢?当用户第一次选择自动登陆时,网站会在cookie里存储一个随机码;下次访问时网站会将浏览器上传cookie的随机码和服务器数据库中保存的随机码进行比对,如果吻合则直接登录。同时网站的“在本机上记住我”、“一个月内不再输入”等提示、用户设定为自动填充的账号和密码;还有视频网站在用户退出情况下保存的观看历史、购物网站在用户退出登陆情况下仍保留的购物车;网站的注册页面可以看到的输入框的下拉提示;手机访问百度时,下拉框的历史记录所有这些功能都利用了cookie技术。

Cookie技术设计本身其实充分考虑了安全性,尽管当时对此并没有任何规定。比如A网站存储的cookie,只有A网站才可以读取;另外cookie也是有“保质期”的,网站可以在任何一次访问时清理掉用户设备上的cookie。同时cookie被限制在4k的容量内,这意味着所能存储的信息非常有限;cookie传递过程支持加密数据传送等。

然而由于与操作系统、浏览器、网站和网络这四个因素密切相关,这使cookie存在很多敞口风险。事实上通过网站的服务器端代码、浏览器、网站在浏览器上的脚本都可以抓取到cookie,第三方cookie查看软件、桌面软件如记事本、黑客使用的抓包工具通这些途径也能看到cookie。因此这四个因素中任何一个环节存在漏洞都可能导致cookie的不安全。

Cookie能存什么信息是由网站决定的。如果网站愿意,可以将用户的账号、密码等任何文字信息存储到cookie。因此如果网站存在缺陷,比如将密码直接明文存到cookie,或者允许第三方代码访问自己用户的cookie,并且对第三方代码不加以审核控制,都可能出现安全问题,更不用说如果网站直接将拥有的cookie数据售卖。正常的网站,不但自己不会滥用cookie,还会处处考虑用户在上网环境、操作系统、浏览器、网络环境等潜在的异常情况,并防患未然,做好相关设计以避免cookie被泄露,比如做加密传送、有效期设置、提醒等。

2011年,国外研究人员发现IE浏览器存在名为cookiejacking的安全漏洞,容易导致网络帐号和密码泄露,最新版IE已修复该问题。像支付宝这样对安全性要求极高的网站,则直接开发了一个浏览器控件,也可以实现记住用户账号的目的。

Cookie和网站安全性设计的前提都是:浏览器是安全的,是不会偷窥用户私密数据的。如果浏览器存在漏洞,就可能给黑客可乘之机,获取cookie文件。另外浏览器主观伪造、利用用户cookie,在技术上也是可行的。

由于cookie对操作系统开放, 所以第三方软件甚至记事本也可以查看到电脑上的cookie内容。如果操作系统有漏洞或者Office软件有漏洞等,都可能导致cookie不安全。比如密码,虽然用“*”型代替了,但通过“星号密码查看器”这种小软件就可以轻松破解。

Cookie的另一重风险,则是随意接入未知的Wi-Fi网络。虽然几率很小,但如果遇到隐藏的钓鱼Wi-Fi,黑客们也会守株待兔,等着借此抓取用户数据包,也包括cookie。2012年沈阳警方和上海警方证实了钓鱼Wi-Fi存在。一旦联入,黑客在15分钟之内就可以窃取上网用户的个人信息和密码,包括网银密码、炒股账号密码等。黑客的作案场所基本在提供免费上网的地方。当然还有人为因素,如果你身边的人使用你的电脑,有心且懂技术,更可直接通过第三方软件查看和分析电脑上的cookie数据。

如果真的像315晚会说的那样,对cookie所有者而言又有什么危害?举个例子,如果打印文件被泄露了会有什么后果?这要看你打印的具体内容是什么,以及泄露给谁了。同样是打印文件,如果内容是商业机密,并泄露给了竞争对手,那么后果就很严重了。虽然是小概率事件,但隐私和安全问题一样,一旦发生后果却很严重。我们可以把cookie想像成是通过浏览器“打印”的文件。Cookie泄露会有什么后果,关键在于被人看到了什么、以及谁看到了。 然而从隐私的角度出发,或许很少有人愿意不经允许地被窥视、被分析。

理论上来说,地域、性别等信息的私密程度较低;浏览历史、用户名等信息稍微敏感;如果涉及到密码、姓名等信息则极度私密了。如果是广告公司做精确营销,问题不是那么严重,因为他们只知道有这么个人,更确切说有“这么一台电脑”,很难知道这个人究竟是谁。这如同“七成网民曾浏览过色情网站”和“张同学经常浏览成人网站”的区别。但如果是调查公司拿到这些数据,问题就不一样了:他们可能通过cookie找到具体个人,商业侦探也可能通过cookie的关联提取出来很多商业信息。

作为无法脱离互联网的普通人,我们如何与cookie和平共处?首先使用在业界知名度高,值得信任的网站;并且不同网站要使用不同的账号和密码。不要提交私密信息给不信任的网站,包括姓名、身份证号、住址、公司、银行账号信息等。

鉴于浏览器是cookie的基础,因此使用一款安全的浏览器非常重要,慎重使用不知名的浏览器。浏览器是否安全有哪些指标呢?除了不会乱收集数据,还应具有设置安全、隐私、防追踪等的能力。

如果不是技术专家,最好不要“裸奔”,一定要装安全软件,包括可靠的杀毒软件和安全管理软件,同时建议使用正版操作系统和正版软件,并及时给操作系统打补丁,减少漏洞。这样就可以确保cookie不会在操作系统层面被泄露。

如果对安全要求高,还要定期清理cookie或者使用一些特殊设置。360、QQ电脑管家等软件清理浏览器cookie。实际上IE浏览器可以设置为不使用cookie,不过操作比较复杂。但包括QQ浏览器等都有隐私浏览功能或者“退出时清理”这类设置,不会使用和记录cookie。

如果315晚会对cookie的关注,能引起人们对互联网安全和隐私的重视,则必将促进整个互联网行业的发展。这将促使下一个版本的浏览器、安全软件可以为用户提供更有效的保护,需求永远是第一推动力。

罗超为互联网从业者,SuperSofter博客(www.xiaoshejian.com)创始人。

来源:纽约时报中文

萝卜网

如果您的阅读器看不到图片,请订阅 http://feed.luobo8.com/ 即可显示图片。

部分文章附有精彩小视频,如果您的阅读器无法观看视频,请移步原文链接: http://luo.bo/37791/

本文小编:梁萧 标题: 关于Cookie:你必须知道的事 发布时间:2013/03/26, 21:12
萝卜网 Copyright © 2010 - 2012 分享国内外精彩网事。
更多精彩欢迎您订阅 http://feed.luobo8.com/,欢迎网友 投稿、推荐文章。


您可能对以下文章感兴趣:

网易一周图片精选(2011.9.3—9.9)

你要花多少钱才能当上蝙蝠侠?

德国人信奉的20大人生哲理

鲁智深撸自身撸至深处鲁自呻

微语录精选0722:雁过拔毛,水退贴条
来自无觅网络的相关文章:

iPhone饼干:iPhone Cookies (@uuhy)

火柴饼干:Matchstick Cookies (@ixiqi)

瑜伽小人饼干:Yoga Cookies (@ixiqi)

夹心饼干造型的保护套:Cookies (@ixiqi)

LOMO控无法抗拒的甜蜜~相机翻糖饼干:Camera Cookie (@ixiqi)
无觅

相关 [cookie 知道] 推荐:

关于Cookie:你必须知道的事

- - 萝卜网
在今年的中央电视台315晚会中, 对用户网络隐私权的侵犯行为成为被曝光的对象之一,央视通过调查曝光了易传媒、上海传漾、悠易互通、品友互动等多家网络广告公司利用浏览器cookie数据跟踪用户的行为,同样被点名的还有门户网站网易. 央视指出,上述公司在刻意收集用户浏览网站时留下的cookie数据,并在用户不知情的情况下擅自调用这些cookie以达到盈利目的.

细说Cookie

- ~Wing~ - 博客园-首页原创精华区
Cookie虽然是个很简单的东西,但它又是WEB开发中一个很重要的客户端数据来源,而且它可以实现扩展性很好的会话状态, 所以我认为每个WEB开发人员都有必要对它有个清晰的认识. 本文将对Cookie这个话题做一个全面的描述, 也算是本人对Cookie的认识总结. Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递.

LTPA Cookie原理

- - Web前端 - ITeye博客
Lightweight Third-Party Authentication (LTPA)是IBM Websphere和Domino产品中使用单点登录技术. 当服务器配置好LTPA认证方式,用户通过浏览器成功登录后,服务器会自动发送一个session cookie给浏览器;此cookie中包含一个LTPA Token.

session和cookie详解

- - ITeye博客
摘要:虽然session机制在web应用程序中被采用已经很长时间了,但是仍然有很多人不清楚session机制的本质,以至不能正确的应用这一 技术. 本文将详细讨论session的工作机制并且对在Java web application中应用session机制时常见的问题作出解答. 二、HTTP协议与状态保持.

Cookie深度解析

- - CSDN博客互联网推荐文章
       最近在公司做了Web端单点登录(SSO)功能,基于Cookie实现,做完之后感觉有必要总结一下,本文着重讲解Cookie,下文会说明单点登录的实现方案.        众所周知,Web协议(也就是HTTP)是一个无状态的协议. 一个Web应用由很多个Web页面组成,每个页面都有唯一的URL来定义.

Cookie:并非洪水猛兽

- - 互联网分析
腾讯科技 雷建平 王可心. 任何事物都有两面性,网易、品友互动等将针对客户的“高超话术”用到央视315暗访人员身上,不但未能提升销售业绩,还致使自己乃至整个互联网营销业深陷舆论危机. 在央视315晚会镁光灯下,不仅身为媒体的网易无意中被推上舞台,品友互动、易传媒、亿玛、悠易、传漾公司这些数字广告平台商“火”了一把:涉嫌通过Cookie盗取用户信息.

文章: Cookie安全漫谈

- - InfoQ cn
在Web应用中,Cookie很容易成为安全问题的一部分. 从以往的经验来看,对Cookie在开发过程中的使用,很多开发团队并没有形成共识或者一定的规范,这也使得很多应用中的Cookie成为潜在的易受攻击点. 在给Web应用做安全架构评审(Security architecture review)的时候,我通常会问设计人员以下几个问题:.

奇怪的 IE Cookie 设置

- - IE浏览器中文网站
今天接到一个奇怪的问题,所有的浏览器都可以正常执行,唯独在 IE10 浏览器下运行会有问题,花了一些时间找问题到底是什么,这篇记录一下,希望能帮到不小心路过的网友. 经过一番 IE8, IE10, Chrome, Firefox 交叉测试后,发现 IE8 的状态栏有个小小的安全性提示(本来要截图,结果 … 选了接受 cookie 就 … 看不到图了),幸好有使用 IE8 做测试,真是不幸中的大幸,IE10 完全自己暗槓起来什么都不说啊 ~~~.

深入解析Cookie技术

- - FreeBuf.COM
在Web技术的发展史上,Cookie技术的出现是一次重大的 变革. 但是, Cookie技术又是一项非常有争议的技术,从它诞生之日起就成了广大网络用户和Web开发人员的一个争论焦点,原因不是Cookie的功能太弱,而是认为Cookie的使用会对网络用户的隐私信息构成危害. Cookie技术最先被Netscape公司引入到Navigator浏览器中.

说说Cookie和Session - 逝宇、

- - 博客园_首页
Session和Cookie在网站开发中是用来保存用户与后端服务器的交互状态. 而且,他们的优点和应用场景是对立的. 完整地描述:当一个用户通过HTTP访问一个服务器时,这个服务器会将一些Key/Value键值返回给客户端浏览器,并给这些数据加上一些限制条件,在条件符合时,用户下次访问这个服务器时,数据又将完整地带回给服务器.