Cookies安全问题的探讨.docVIP

Cookies安全问题的探讨 　　摘要：Cookies已广泛应用在各种Web服务中，该文分析了Cookies在Web服务中的应用，指出了利用Cookies不当获取用户隐私的现象，在此基础上，探讨加强防范意识和对网页浏览器进行设置，阻止Cookies泄密的安全措施。 　　关键词：Web服务；Cookies；隐私保护；安全措施；浏览器 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）14-3273-04 　　2013年央视的315晚会报道称，多家互联网广告营销公司涉嫌通过Cookies等方式，侵犯用户的个人隐私信息。央视指出，易传媒、品友互动、悠易互通、亿玛等互联网广告营销公司都在依靠Cookies信息进行精准广告的营销行为[1]。这些公司的常见做法就是通过在门户网站的广告中添加代码，以获取用户电脑中的Cookies信息。在整个事件中，Cookies无疑是最重要的关键词。那么，Cookies技术到底是什么？它是否会泄露用户的个人隐私吗？针对上述问题，该文在剖析Cookies技术的基础上，探讨其存在的安全隐患以及给出相应的防范措施。 　　1 Cookies技术概述 　　Cookies[2]最早是网景公司的前雇员Lou Montulli在1993年3月的发明，用于以弥补无状态http协议的不足。为了减少设计，Web服务采用的http协议具有无状态性，用户对不同页面的访问，以及同一页面的不同次访问之间的是没有状态关联的。因此，Web服务需要引入其他辅助技术来存储用户的访问信息，目前，主要有两种Session技术[3]和Cookies技术。 　　Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时，由Web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID、密码、浏览过的页面、停留的时间等信息。 当你再次来到该网站时，网站通过读取Cookies，得知你的相关信息，就可以做出相应的动作。从本质上讲，它可以看作是你的身份证。但Cookies不能作为代码执行，也不会传送病毒，且为你所专有，并只能由提供它的服务器来读取。保存的信息片断以“名/值”对（name-value pairs）的形式储存，一个“名/值”对仅仅是一条命名的数据。一个网站只能取得它放在你的电脑中的信息，它无法从其它的Cookies文件中取得信息，也无法得到你的电脑上的其它任何东西。 Cookies中的内容大多数经过了加密处理，因此一般用户看来只是一些毫无意义的字母数字组合，只有服务器的CGI （Common Gateway Interface）处理程序才知道它们真正的含义[4]。 　　Cookies文件的存放位置为：“系统盘符：＼Documents and Settings＼＼＼Local Settings＼Temporary Internet Files”文件夹 ，如图1所示。 　　每个Cookies一般都会有一个有效期限，当用户访问网站时，浏览器会自动删除过期的Cookies。如果不设置过期时间，则表示这个Cookies生命周期为浏览器会话期间，只要关闭浏览器窗口，Cookies就消失了。这种生命期为浏览会话期的Cookies被称为会话Cookies。会话Cookies一般不保存在硬盘上而是保存在内存里。 如果设置了过期时间，浏览器就会把Cookies保存到硬盘上，关闭后再次打开浏览器，这些Cookies依然有效直到超过设定的过期时间。存储在硬盘上的Cookies可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存的Cookies，不同的浏览器有不同的处理方式。 　　此外，还有一种Flash Cookies，其正确名称应该是“Flash Player 本地存储”。许多使用flash的网站使用此功能记住如下信息：输入的表单信息、在线游戏进度或高分、喜好设置（如最喜欢的播放音量）或在观看视频时上次离开的位置，还有网页游戏中的缓存。有些单机FLASH 游戏的游戏记录功能就是依靠Flash Player 本地存储。 　　2 Cookies技术在web服务中的应用 　　从理论上讲，Web服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。Cookies技术在web服务中的具体应用主要包含以下几个方面： 　　2.1 购物车 　　购物车指的是应用于网店的在线购买功能，它类似于超市购物时使用的推车或篮子