Cookie原理

Cookie,也可以用其復(fù)數(shù)形式Cookies來(lái)表示。是指某些網(wǎng)站為了辨別用戶身份而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過(guò)加密），它是網(wǎng)景公司的前雇員Lou Montulli在1993年3月發(fā)明。

Cookie介紹[ ]

• Cookie就是服務(wù)器暫存放在你的電腦里的資料（.txt格式的文本文件），通過(guò)在HTTP傳輸中的狀態(tài)好讓服務(wù)器用來(lái)辨認(rèn)你的計(jì)算機(jī)。當(dāng)你在瀏覽網(wǎng)站的時(shí)候，Web服務(wù)器會(huì)先送一小小資料放在你的計(jì)算機(jī)上，Cookie 會(huì)幫你在網(wǎng)站上所打的文字或是一些選擇都記錄下來(lái)。

• 當(dāng)下次你再訪問(wèn)同一個(gè)網(wǎng)站，Web服務(wù)器會(huì)先看看有沒有它上次留下的Cookie資料，有的話，就會(huì)依據(jù)Cookie里的內(nèi)容來(lái)判斷使用者，送出特定的網(wǎng)頁(yè)內(nèi)容給你。

Cookie的作用[ ]

• cookie有什么作用呢？現(xiàn)在上許多網(wǎng)站都用新用戶注冊(cè)這一項(xiàng)，有時(shí)注冊(cè)了一下，等到下次再訪問(wèn)該站點(diǎn)時(shí)，會(huì)自動(dòng)識(shí)別到你，并且向你問(wèn)好，是不是覺得很親切？當(dāng)然這種作用只是表面現(xiàn)象，更重要的是，網(wǎng)站可以利用cookie跟蹤統(tǒng)計(jì)用戶訪問(wèn)該網(wǎng)站的習(xí)慣，比如什么時(shí)間訪問(wèn)，訪問(wèn)了哪些頁(yè)面，在每個(gè)網(wǎng)頁(yè)的停留時(shí)間等。

• 利用這些信息，一方面是可以為用戶提供個(gè)性化的服務(wù)，另一方面，也可以作為了解所有用戶行為的工具，對(duì)于網(wǎng)站經(jīng)營(yíng)策略的改進(jìn)有一定參考價(jià)值。例如，你在某家航空公司站點(diǎn)查閱航班時(shí)刻表，該網(wǎng)站可能就創(chuàng)建了包含你旅行計(jì)劃的 Cookies，也可能它只記錄了你在該站點(diǎn)上曾經(jīng)訪問(wèn)過(guò)的Web頁(yè)，在你下次訪問(wèn)時(shí)，網(wǎng)站根據(jù)你的情況對(duì)顯示的內(nèi)容進(jìn)行調(diào)整，將你所感興趣的內(nèi)容放在前列。這是高級(jí)的Cookie應(yīng)用。

• 目前Cookie最廣泛的是記錄用戶登錄信息，這樣下次訪問(wèn)時(shí)可以不需要輸入自己的用戶名、密碼了——當(dāng)然這種方便也存在用戶信息泄密的問(wèn)題，尤其在多個(gè)用戶共用一臺(tái)電腦時(shí)很容易出現(xiàn)這樣的問(wèn)題。

生存周期[ ]

• Cookie可以保持登錄信息到用戶下次與服務(wù)器的會(huì)話，換句話說(shuō)，下次訪問(wèn)同一網(wǎng)站時(shí)，用戶會(huì)發(fā)現(xiàn)不必輸入用戶名和密碼就已經(jīng)登錄了（當(dāng)然，不排除用戶手工刪除Cookie）。而還有一些Cookie在用戶退出會(huì)話的時(shí)候就被刪除了，這樣可以有效保護(hù)個(gè)人隱私。

• Cookie在生成時(shí)就會(huì)被指定一個(gè)Expire值，這就是Cookie的生存周期，在這個(gè)周期內(nèi)Cookie有效，超出周期Cookie就會(huì)被清除。有些頁(yè)面將Cookie的生存周期設(shè)置為“0”或負(fù)值，這樣在關(guān)閉瀏覽器時(shí)，就馬上清除Cookie，不會(huì)記錄用戶信息，更加安全。

腳本攻擊[ ]

• 盡管cookie沒有病毒那么危險(xiǎn)，但它仍包含了一些敏感信息：用戶名，計(jì)算機(jī)名，使用的瀏覽器和曾經(jīng)訪問(wèn)的網(wǎng)站。用戶不希望這些內(nèi)容泄漏出去，尤其是當(dāng)其中還包含有私人信息的時(shí)候。

• 這并非危言聳聽，一種名為Cross site scripting的工具可以達(dá)到此目的。在受到Cross site scripting攻擊時(shí)，cookie盜賊和cookie毒藥將竊取內(nèi)容。一旦cookie落入攻擊者手中，它將會(huì)重現(xiàn)其價(jià)值。

• cookie盜賊：搜集用戶cookie并發(fā)給攻擊者的黑客。攻擊者將利用cookie信息通過(guò)合法手段進(jìn)入用戶帳戶。

cookie毒藥：利用安全機(jī)制，攻擊者加入代碼從而改寫cookie內(nèi)容，以便持續(xù)攻擊。

Cookie的安全問(wèn)題[ ]

適用對(duì)象：所有希望上網(wǎng)安全的讀者

Cookie欺騙[ ]

• Cookie記錄著用戶的帳戶ID、密碼之類的信息，如果在網(wǎng)上傳遞，通常使用的是MD5方法加密。這樣經(jīng)過(guò)加密處理后的信息，即使被網(wǎng)絡(luò)上一些別有用心的人截獲，也看不懂，因?yàn)樗吹降闹皇且恍o(wú)意義的字母和數(shù)字。然而，現(xiàn)在遇到的問(wèn)題是，截獲Cookie的人不需要知道這些字符串的含義，他們只要把別人的Cookie向服務(wù)器提交，并且能夠通過(guò)驗(yàn)證，他們就可以冒充受害人的身份，登陸網(wǎng)站。

• 這種方法叫做Cookie欺騙。Cookie欺騙實(shí)現(xiàn)的前提條件是服務(wù)器的驗(yàn)證程序存在漏洞，并且冒充者要獲得被冒充的人的Cookie信息。目前網(wǎng)站的驗(yàn)證程序要排除所有非法登錄是非常困難的，例如，編寫驗(yàn)證程序使用的語(yǔ)言可能存在漏洞。而且要獲得別人Cookie是很容易的，用支持Cookie的語(yǔ)言編寫一小段代碼就可以實(shí)現(xiàn)（具體方法見三），只要把這段代碼放到網(wǎng)絡(luò)里，那么所有人的Cookie都能夠被收集。

• 如果一個(gè)論壇允許HTML代碼或者允許使用Flash標(biāo)簽就可以利用這些技術(shù)收集Cookie的代碼放到論壇里，然后給帖子取一個(gè)吸引人的主題，寫上有趣的內(nèi)容，很快就可以收集到大量的Cookie。在論壇上，有許多人的密碼就被這種方法盜去的。至于如何防范，目前還沒有特效藥，我們也只能使用通常的防護(hù)方法，不要在論壇里使用重要的密碼，也不要使用IE自動(dòng)保存密碼的功能，以及盡量不登陸不了解底細(xì)的網(wǎng)站。

Flash的代碼隱患[ ]

• Flash中有一個(gè)getURL（）函數(shù)，Flash可以利用這個(gè)函數(shù)自動(dòng)打開指定的網(wǎng)頁(yè)。因此它可能把你引向一個(gè)包含惡意代碼的網(wǎng)站。打個(gè)比方，當(dāng)你在自己電腦上欣賞精美的Flash動(dòng)畫時(shí)，動(dòng)畫幀里的代碼可能已經(jīng)悄悄地連上網(wǎng)，并打開了一個(gè)極小的包含有特殊代碼的頁(yè)面。

• 這個(gè)頁(yè)面可以收集你的Cookie、也可以做一些其他的事情，比如在你的機(jī)器上種植木馬甚至格式化你的硬盤等等。對(duì)于Flash的這種行為，網(wǎng)站是無(wú)法禁止的，因?yàn)檫@是Flash文件的內(nèi)部行為。我們所能做到的，如果是在本地瀏覽盡量打開防火墻，如果防火墻提示的向外發(fā)送的數(shù)據(jù)包并不為你知悉，最好禁止。如果是在Internet上欣賞，最好找一些知名的大網(wǎng)站。

刪除IE瀏覽器cookie[ ]

1. 點(diǎn)擊瀏覽器工具欄上面的“工具”菜單.
2. 在打開的下拉列表中點(diǎn)擊“Internet選項(xiàng)”.
3. 在打開的彈出菜單中點(diǎn)擊"刪除按鈕".
4. 選中"Cookie 和網(wǎng)站數(shù)據(jù)"，其它項(xiàng)可以不選中，再點(diǎn)擊下面的刪除按鈕。等待約10秒鐘左右，就會(huì)出現(xiàn)刪除成功的提示.

相關(guān)條目[ ]

• session

參考資料[ ]

• 互聯(lián)網(wǎng)開源知識(shí)