论坛首页 最近的话题 最近的帖子 搜索 faq  


注册 | 忘记密码   open id
Messages in this topic - RSS

论坛首页 » 电脑技术 » 关于Cookie:你必须知道的事

现代科技基础、生活服务保障!
|
3/27/2013

老黄
老黄
Posts: 447


罗超

在今年的中央电视台315晚会中, 对用户网络隐私权的侵犯行为成为被曝光的对象之一,央视通过调查曝光了易传媒、上海传漾、悠易互通、品友互动等多家网络广告公司利用浏览器cookie数据跟踪用户的行为,同样被点名的还有门户网站网易。央视指出,上述公司在刻意收集用户浏览网站时留下的cookie数据,并在用户不知情的情况下擅自调用这些cookie以达到盈利目的。
一时间“cookie”这个平时只有技术人员才关注的名词,引起了多方关注。它看上去离我们很远,其实很近:只要上网,就要接触cookie。上网时,你电脑的IP、点击行为、输入网站的信息等,如果网站认为有需要,便会将这些信息写到你电脑的一个文件夹里面。此后当你每次访问该网站时,相关的cookie记录便会自动回传到网站。网站也可以更改或清除你电脑上已经被记录的cookie。用手机浏览器上网时,也会使用到cookie。

信息时代,人们享受互联网便利的同时,也在把自己更多地暴露在别人的注意力之下。越来越多的人都在接触cookie技术,因此有关cookie的话题才会引起如此关注。根据中国互联网络信息中心(China Internet Network Information Center,简称CNNIC)最新发布的《第31次中国互联网络发展状况统计报告》,截至2012年底,我国网民共有5.64亿,互联网普及率占到人口总数的42.1%。而随着移动互联网的发展,这个趋势将延续。另据CNNIC的数据,截至去年底,我国手机网民的规模为4.2亿,网民中使用手机上网的用户占比由上年底的69.3%提升至74.5%。
相对于互联网的飞速发展,与之相关的隐私保护法律和行业规定显得滞后。关于cookie,到底谁能操作、能否公开、用户对cookie的控制权和知情权等问题,国内的法律法规和行业约定几乎是空白,而欧美已有相关的立法和案例。如2012年5月,欧盟法律做出明确规定,如果用cookie追踪用户的使用习惯,网站必须取得使用者的“明确同意”。
那么cookie究竟是啥?这个名为“小甜饼”的技术,最初是程序之间交流的一种数据包,在互联网上是一种基于浏览器和网站的技术,主要目的是为了让网站记录用户的一些信息,以便用户下次访问网站时能认出他。 Cookie的出现最初是为了解决实际问题:为了网站开发人员能方便地“记住”用户,可在用户每次访问时提供更方便、更有针对性的功能。就像《贱人就是矫情》那篇科技博客里说的那样,不会让大老爷们看到弹力贴身卫生棉的广告。
《打造Facebook》的作者王淮认为,cookie就是一种工具。不应该打压这种工具本身,而是应该打压利用这种工具的恶意行为。知名互联网观察家、5G咨询合伙人洪波也认为,从Facebook、谷歌来看,互联网的发展正是以牺牲所谓的隐私来换取个性化和精准化的体验,在不对用户造成困扰的情况下,用户应看轻隐私问题,提升隐私容忍度。博客中国创始人方兴东也指出,媒体对cookie的片面化、简单化、妖魔化的报道,引起用户无谓的恐慌,不利于认清与解决问题。Cookie的有效合理使用,是互联网的优势所在,也是互联网的价值,不能把cookie问题简单化绝对化,应该防止滥用,而不是不用。
它确实带来了便利。自动登录是怎么实现的呢?当用户第一次选择自动登陆时,网站会在cookie里存储一个随机码;下次访问时网站会将浏览器上传cookie的随机码和服务器数据库中保存的随机码进行比对,如果吻合则直接登录。同时网站的“在本机上记住我”、“一个月内不再输入”等提示、用户设定为自动填充的账号和密码;还有视频网站在用户退出情况下保存的观看历史、购物网站在用户退出登陆情况下仍保留的购物车;网站的注册页面可以看到的输入框的下拉提示;手机访问百度时,下拉框的历史记录所有这些功能都利用了cookie技术。
Cookie技术设计本身其实充分考虑了安全性,尽管当时对此并没有任何规定。比如A网站存储的cookie,只有A网站才可以读取;另外cookie也是有“保质期”的,网站可以在任何一次访问时清理掉用户设备上的cookie。同时cookie被限制在4k的容量内,这意味着所能存储的信息非常有限;cookie传递过程支持加密数据传送等。
然而由于与操作系统、浏览器、网站和网络这四个因素密切相关,这使cookie存在很多敞口风险。事实上通过网站的服务器端代码、浏览器、网站在浏览器上的脚本都可以抓取到cookie,第三方cookie查看软件、桌面软件如记事本、黑客使用的抓包工具通这些途径也能看到cookie。因此这四个因素中任何一个环节存在漏洞都可能导致cookie的不安全。
Cookie能存什么信息是由网站决定的。如果网站愿意,可以将用户的账号、密码等任何文字信息存储到cookie。因此如果网站存在缺陷,比如将密码直接明文存到cookie,或者允许第三方代码访问自己用户的cookie,并且对第三方代码不加以审核控制,都可能出现安全问题,更不用说如果网站直接将拥有的cookie数据售卖。正常的网站,不但自己不会滥用cookie,还会处处考虑用户在上网环境、操作系统、浏览器、网络环境等潜在的异常情况,并防患未然,做好相关设计以避免cookie被泄露,比如做加密传送、有效期设置、提醒等。
2011年,国外研究人员发现IE浏览器存在名为cookiejacking的安全漏洞,容易导致网络帐号和密码泄露,最新版IE已修复该问题。像支付宝这样对安全性要求极高的网站,则直接开发了一个浏览器控件,也可以实现记住用户账号的目的。
Cookie和网站安全性设计的前提都是:浏览器是安全的,是不会偷窥用户私密数据的。如果浏览器存在漏洞,就可能给黑客可乘之机,获取cookie文件。另外浏览器主观伪造、利用用户cookie,在技术上也是可行的。
由于cookie对操作系统开放, 所以第三方软件甚至记事本也可以查看到电脑上的cookie内容。如果操作系统有漏洞或者Office软件有漏洞等,都可能导致cookie不安全。比如密码,虽然用“*”型代替了,但通过“星号密码查看器”这种小软件就可以轻松破解。
Cookie的另一重风险,则是随意接入未知的Wi-Fi网络。虽然几率很小,但如果遇到隐藏的钓鱼Wi-Fi,黑客们也会守株待兔,等着借此抓取用户数据包,也包括cookie。2012年沈阳警方和上海警方证实了钓鱼Wi-Fi存在。一旦联入,黑客在15分钟之内就可以窃取上网用户的个人信息和密码,包括网银密码、炒股账号密码等。黑客的作案场所基本在提供免费上网的地方。当然还有人为因素,如果你身边的人使用你的电脑,有心且懂技术,更可直接通过第三方软件查看和分析电脑上的cookie数据。
如果真的像315晚会说的那样,对cookie所有者而言又有什么危害?举个例子,如果打印文件被泄露了会有什么后果?这要看你打印的具体内容是什么,以及泄露给谁了。同样是打印文件,如果内容是商业机密,并泄露给了竞争对手,那么后果就很严重了。虽然是小概率事件,但隐私和安全问题一样,一旦发生后果却很严重。我们可以把cookie想像成是通过浏览器“打印”的文件。Cookie泄露会有什么后果,关键在于被人看到了什么、以及谁看到了。 然而从隐私的角度出发,或许很少有人愿意不经允许地被窥视、被分析。
理论上来说,地域、性别等信息的私密程度较低;浏览历史、用户名等信息稍微敏感;如果涉及到密码、姓名等信息则极度私密了。如果是广告公司做精确营销,问题不是那么严重,因为他们只知道有这么个人,更确切说有“这么一台电脑”,很难知道这个人究竟是谁。这如同“七成网民曾浏览过色情网站”和“张同学经常浏览成人网站”的区别。但如果是调查公司拿到这些数据,问题就不一样了:他们可能通过cookie找到具体个人,商业侦探也可能通过cookie的关联提取出来很多商业信息。
作为无法脱离互联网的普通人,我们如何与cookie和平共处?首先使用在业界知名度高,值得信任的网站;并且不同网站要使用不同的账号和密码。不要提交私密信息给不信任的网站,包括姓名、身份证号、住址、公司、银行账号信息等。
鉴于浏览器是cookie的基础,因此使用一款安全的浏览器非常重要,慎重使用不知名的浏览器。浏览器是否安全有哪些指标呢?除了不会乱收集数据,还应具有设置安全、隐私、防追踪等的能力。
如果不是技术专家,最好不要“裸奔”,一定要装安全软件,包括可靠的杀毒软件和安全管理软件,同时建议使用正版操作系统和正版软件,并及时给操作系统打补丁,减少漏洞。这样就可以确保cookie不会在操作系统层面被泄露。
如果对安全要求高,还要定期清理cookie或者使用一些特殊设置。360、QQ电脑管家等软件清理浏览器cookie。实际上IE浏览器可以设置为不使用cookie,不过操作比较复杂。但包括QQ浏览器等都有隐私浏览功能或者“退出时清理”这类设置,不会使用和记录cookie。
如果315晚会对cookie的关注,能引起人们对互联网安全和隐私的重视,则必将促进整个互联网行业的发展。这将促使下一个版本的浏览器、安全软件可以为用户提供更有效的保护,需求永远是第一推动力。


罗超为互联网从业者,SuperSofter博客(www.xiaoshejian.com)创始人。
edited by 老黄 on 3/27/2013
0 固定链接
|

论坛首页 » 电脑技术 » 关于Cookie:你必须知道的事