正確使用Cookies

引言：人們在上網時，Cookies會記錄用戶的訪問時間、訪問頁面和每個瀏覽過的網頁駐留時間等，Cookies在提高用戶上網體驗和方便的同時，也存在安全隱患，極易泄露用戶的個人隱私，正確使用Cookies功能且確保Cookies安全，不泄露用戶個人上網信息就顯得尤為重要。

現在上網很多網站都需要用戶注冊，不然很多需要權限的資源就無法訪問，在注冊成功并登錄后，在一定的時間內，用戶無需重新登錄仍可訪問相應權限的資源，這些網站會自動識別和記錄用戶信息，實現這個功能的就是 Cookies，Cookies會記錄用戶的訪問時間、訪問頁面和每個瀏覽過的網頁駐留時間等信息，這些網站會根據用戶的瀏覽資源提供相應的個性化服務，例如會自動推薦一些相關聯的資源等，還會根據用戶瀏覽的習慣和各類統計信息來完善網站功能等，但Cookies在提高用戶上網體驗和方便的同時，也存在一定的安全隱患，極易泄露用戶的個人隱私，正確使用Cookies功能且確保Cookies安全，不泄露用戶個人信息就顯得尤為重要。

Cookies及其功能

圖1 使用IE瀏覽器查看Cookies信息

Cookies是存儲在用戶計算機內，記錄用戶瀏覽相關網站用戶信息的文本文件，是一種保持Web應用程序執行狀態的技術手段，其目的是為了幫助相關網站記住用戶信息狀態。

用戶使用不同的瀏覽器訪問網站時，Cookies會存儲在相應瀏覽器的文件夾內，同時，會以用戶訪問網站的域名為名稱生成相應的文件夾。可以將Cookies看作成不同的“倉庫”，“倉庫”內有很多的“房間”，這些“房間”內存放的是就是用戶信息，“倉庫”因用戶使用瀏覽器的不同，其“物理位置”也會不同，“倉 庫”內“房間”的名稱就是用戶瀏覽相應網站的域名。用戶在瀏覽相應網站時，網站服務器不僅會反饋給用戶相應瀏覽網頁，也會根據用戶相關信息反饋一個包含有時間、日期等相應信息的Cookies，并將之存儲在用戶的硬盤上，Cookies信息會在網站服務器和用戶瀏覽器之間進行傳遞，不同瀏覽器和不同網站之間的Cookies不會彼此覆蓋。之后，當該用戶再次訪問網站時，瀏覽器會在用戶硬盤Cookies文件夾內查找與該網站相關聯的Cookies，如果該Cookies存在，那么瀏覽器便會將該Cookies和網頁請求一起發送到網站，如圖1所示，為使用IE瀏覽器查看Cookies信息的方法。當然，并不是所有的瀏覽器都將Cookies信息放在文本文件中，比如有的瀏覽器則是將Cookies信息存儲在注冊表中。

Cookies的主要安全隱患

Cookies有許多安全隱患，其中極易造成用戶信息丟失的安全隱患主要有3點：

一是Cookies本身容量不足而易溢出。目前大多數瀏覽器最大僅支持4096字節的Cookies，同時還限制了存儲的Cookies數量，如果要存儲更多數量的Cookies，較早的Cookies便會被丟棄，所以當在使用Cookies時，特別是用戶訪問網站數量較多的時候，非常容易丟失關鍵網站的Cookies。

二是易遭受XSS攻擊。XSS攻擊為跨站腳本攻擊，經常用來攻擊存在XSS漏洞的用戶和服務器，它允許惡意Web用戶將代碼植入到提供給其它用戶使用的頁面中，即攻擊者可以把自己的代碼越過安全邊界線注射到另一個不同的、有漏洞的Web站點中，當這些注入的代碼作為目標站點的代碼在受害者的瀏覽器中執行時，攻擊者就能竊取如用戶網銀、各類管理員帳號等各類敏感信息，可以讀取、篡改、添加、刪除企業敏感信息和釣魚欺騙用戶、在網站上掛木馬等，其攻擊過程如圖2所示。

圖2 XSS攻擊過程

圖3 清理Cookies方法

三是Cookies不能即時清除問題。因為Cookies有一定的生存周期，當用戶A在使用自己的帳號上網后，有些信息還會駐留在計算機內，當后面的用戶上網時，就會使用用戶A的信息上網，這樣就會出現用戶A的信息被后面的用戶冒用的現象，甚至做一些非法的操作等，特別是在網吧等公共場所上網或一機多用戶操作時，就會給某些用戶造成一定的個人信息泄露的損失，這也是Cookies的一個弊病，即在退出瀏覽器后，很多Cookies的信息不會被即時清除。

確保Cookies安全措施

一是做好XSS漏洞防御。現在XSS漏洞已經很少，用戶需要及時升級自己上網所使用的瀏覽器版本，較舊版本的瀏覽器還不能很好地防御XSS漏洞。此外，XSS漏洞是利用了Web頁面的編寫不完善來進行攻擊的，用戶可以使用安全軟件對包括URL、查詢關鍵字、HTTP頭、POST數據等在內的提交信息進行可靠的輸入驗證，僅接受指定長度范圍內、采用適當格式、采用所預期的字符的內容提交，對其他的一律過濾，對包括Session標記或者HTTP引用頭進行檢查，以防Cookies被第三方網站所執行等。

二是定期清理Cookies。清理Cookies不僅可以清理系統上網垃圾，提高系統運行速度，還可以保證用戶的上網信息不被泄露，用戶必要養成定期清理Cookies的習慣，可以手動清除，也可以選擇工具軟件進行清除，清理Cookies雖然不能百分百的解決安全隱患，但可有效預防Cookies可能造成的安全隱患。當Cookies是在文件夾時，以IE瀏覽器為例，清除Cookies的方法如圖3所示。也可以使用圖1的方法，找到各Cookies文件，將其刪除。

對 于Cookies在注冊表中的清除方法如下（如 圖 4所 示）：在Windows操作系統中運行“Regedit”，找到如下鍵 值：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/InternetSettings/Cache/SpecialPaths/Cookies，這是Cookies存留在內存中的鍵值，只要把這個鍵值刪除即可。

三是必要時可以禁用Cookies或提高Cookies的安全級別。通過禁用Cookies、開啟 Cookies安全警告或每次訪問后刪除與操作相關的Cookies方式防范跟蹤Cookies，這里以IE瀏覽器為例，禁用Cookies方法和提高Cookies的安全級別如下（如圖5所示）：打開“工 具 /Internet選 項”中的“隱私”選項卡，調整Cookies的安全級別。通常情況，可以調整到“中高”或者“高”的位置即可，也可以將安全級調到“阻止所有Cookies”。如果只是為了禁止個別網站的Cookies，可以單擊“編輯”按鈕，將要屏蔽的網站添加到列表中。在“高級”按鈕選項中，可以對第一方Cookies和第三方的Cookies進行設置，第一方Cookies是用戶瀏覽網站的Cookies，第三方 Cookies是非正在瀏覽的網站發給用戶的Cookies，通常要對第三方Cookies選擇“拒絕”，目前主流的瀏覽器都有禁止第三方Cookies的功能。若沒有此項功能的瀏覽器，用戶可以通過安全防護軟件來防范跟蹤Cookies。這里需要說明的是，禁止Cookies或提高Cookies安全級別雖然可以增強用戶上網的安全級別，但也有可能會造成一些弊端或降低用戶的上網體驗，比如在一些需要Cookies支持的網站里，會發生一些莫名其妙的錯誤，如無法打開部分文件或不能使用包括免費電子郵件在內的某些網站功能等，所以筆者建議用戶可以對上網的部分安全網站進行篩選。

圖4 在注冊表中清除Cookies方法

圖5 禁用和提高Cookies方法

四是養成一個良好的上網習慣。不要在一些來源不明的網頁上填寫任何有關個人的隱私信息，特別是一些重要和敏感的信息，以免泄漏用戶個人信息從而造成一些不必要的損失。例如在打開一些網站時，可以通過網站的信息來查看網站是否合法，合法的網站其安全性一般都值得信任和有保證的。一般合法的網站在網站的最下方有類似“京ICP證032616號”的網站信息，然后在搜索網站中搜索關于“國家工信部網站備案查詢”，找到“工信部”主頁，在主頁中找到公共查詢的入口，可在其中查詢用戶上網的網站是否合法。