转自:http://blog.csdn.net/duan1078774504/article/details/51912717
**摘要:Cookies是涉及到计算机使用安全的一个非常重要的文件,本文对其基本情况及使用时需要注意的防范和安全问题进行了阐述。 关键词:Cookies;密码;隐私;跟踪**
Cookies在英文中是小甜品的意思,这个词我们经常能在浏览器中看到,那么,食品怎么会跟浏览器扯上关系呢?在我们浏览以前登陆过的网站时网页中可能会出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问我们主机里的一个文件来实现的,这个文件就被称为Cookies。 Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。即当我们浏览某个网站时,由Web服务器放置于硬盘上的一个很小的文本文档(Cookies),它能够记录用户的ID、密码、浏览过的网页、访问次数、访问时间、停留的时间和用户进入站点的路径等信息。当我们再次来到该网站时,网站通过读取Cookies,得知我们的相关信息,就能够做出相应的动作,如在页面显示欢迎的标语,或不用我们再输入ID、密码就可以直接登录等。从本质上讲,Cookies能够看作是个人的身份证,但它不能作为代码执行,也不会传送病毒,且为个人所专有,并只能由提供它的服务器来读取。总之,网站可以通过Cookies文件记录用户的隐私,了解用户浏览的信息。 一个网站只能取得它放在用户本人电脑中的信息,无法从其它的Cookies文档中取得信息,也无法得到用户电脑上的其它任何东西。 Cookies中的内容大多数经过了加密处理,因此一般用户看来只是一些毫无意义的字母数字组合,只有服务器的CGI处理程式才知道他们真正的含义,通过一些软件我们可以查看到更多的内容,如Cookie Pal软件等。 **
** 用户不用害怕自己的行踪都被网站掌握,这些信息在一般情况下不会带来什么大麻烦。但Cookies的作用其实是很大的:有些网站据此统计用户信息,可以为用户实现个性化服务,如用户可以在不键入用户名和密码的情况下直接进入曾经浏览的某些站点,Cookies还可以加快浏览网页的速度等。 不过,自己被网站悄悄跟踪实在不是件愉快的事,更何况,难免有些恶意站点通过这个“小甜饼”给用户制造点小麻烦,比如把E-mail地址等信息卖给商业网站,使用户的信箱充满垃圾邮件等。所以,随着Cookies技术与用户隐私权的矛盾日益突出,有两个 Cookies的安全问题需要引起用户的关注。 1.Cookie欺骗 Cookie记录着用户的帐户ID、密码等信息,如果在网上传递,通常使用的是MD5方法加密,这样经过加密后的信息即使被网络上一些别有用心的人截获,通常也看不懂。然而现在遇到的问题是,截获Cookie的人不需要知道这些字符串的含义,而只要把别人的Cookie向服务器提交,并且能够通过验证,他们就可以冒充受害人的身份登陆网站,这种方法叫做Cookie欺骗。Cookie欺骗实现的前提条件是服务器的验证程序存在漏洞,并且冒充者要获得被冒充的人的Cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的,而且获得别人的Cookie是很容易的:用支持Cookie的语言编写一小段代码就可以实现,只要把这段代码放到网络里,那么所有人的Cookie都能够被收集。至于如何防范,目前还没有特效药,只能使用通常的防护方法,不要在论坛里使用重要的密码,也不要使用IE自动保存密码的功能,以及尽量不登陆不了解底细的网站。 2.Flash的代码隐患 Flash中有一个get URL()函数,Flash可以利用这个函数自动打开指定的网页,因此它可能把用户引向一个包含恶意代码的网站。打个比方,当你在自己电脑上欣赏精美的Flash动画时,动画帧里的代码可能已经悄悄地连上网,并打开了一个极小的包含有特殊代码的页面,这个页面可以收集你的Cookie,也可以做一些其它的事情,比如在你的机器上种植木马甚至格式化你的硬盘等等。对于Flash的这种行为,网站是无法禁止的,因为这是Flash文件的内部行为。因此,对于用户来说,如果是在本地浏览尽量打开防火墙,如果防火墙提示向外发送的数据包并不为你知悉,最好禁止;如果是在Internet上欣赏,最好找一些知名的大网站。
Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的,当我们浏览某个站点时,该站点非常可能将记录我们隐私的Cookies文件上传到本地硬盘。那么我们该怎么防范阻止Cookies文件泄露我们的隐私呢?有多种方法可供借鉴。 第一种是:方法通过浏览器设置拒绝计算机接收Cookies文件即可。进入系统打开IE浏览器,通过菜单栏中的“工具→Internet选项”打开Internet设置窗口,找到“隐私”标签,将设置的滑动按钮调节到最高,这样将阻止来自所有网站的Cookie,而且计算机上的现有Cookie文件都将不能被网站读取,完成设置,所有站点都不会将Cookie文件强制塞入我们的计算机,我们的隐私也不会再泄露了。 第二种是:每次下网时,将所有的Cookies文件删除。打开浏览器,在菜单栏上单击“工具→Internet选项”,在“常规”选项卡中有个“Internet临时文件”项,点击“删除Cookies”按钮,就能把浏览器中所有的Cookies全部删除掉。点击“设置”按钮,通过“查看文件”,找出在你的电脑里留下了Cookies的网站,把那些不希望留下的Cookies删除。为了不再让讨厌的Cookies再出现在电脑中,那么最好自己设置一下,选中“隐私”选项卡,拖动滑块,可对Cookies作6种设置,从照单全收,到全盘拒之,让你自由做主。还有一些特殊Cookie不是以文本文件形式存在,而是保存在内存中,这类Cookie通常是用户在访问某些特殊网站时,由系统自动在内存中生成,一旦访问者离开该网站又自动将Cookie从内存中删除。这种情况下上述两法对这些 Cookie就无能为力了,而“注册表法”可以弥补这些不足。单击“开始”菜单,再单击“运行”,然后在“打开”框中键入“regedit”,单击“确定”按钮,打开“注册表编辑器”窗口;依次展开“HKEY→LOCAL→MACHINE→SOFTWARE→Microsoft→Windows→Current Version→Internet Settings→Cache Special Paths→Cookies”分支,右键单击“Cookies”,然后单击快捷菜单中的“删除”命令,当系统提示确认删除时,请单击“是”按钮后关闭“注册表编辑器”窗口。 除了如上所述手动进行设置外,还有一个简便的方法是安装软件来保护用户的Cookie文件,这类软件比较多,可以到各大软件下载站点去下载。