正确使用Cookies

引言：人们在上网时，Cookies会记录用户的访问时间、访问页面和每个浏览过的网页驻留时间等，Cookies在提高用户上网体验和方便的同时，也存在安全隐患，极易泄露用户的个人隐私，正确使用Cookies功能且确保Cookies安全，不泄露用户个人上网信息就显得尤为重要。

现在上网很多网站都需要用户注册，不然很多需要权限的资源就无法访问，在注册成功并登录后，在一定的时间内，用户无需重新登录仍可访问相应权限的资源，这些网站会自动识别和记录用户信息，实现这个功能的就是 Cookies，Cookies会记录用户的访问时间、访问页面和每个浏览过的网页驻留时间等信息，这些网站会根据用户的浏览资源提供相应的个性化服务，例如会自动推荐一些相关联的资源等，还会根据用户浏览的习惯和各类统计信息来完善网站功能等，但Cookies在提高用户上网体验和方便的同时，也存在一定的安全隐患，极易泄露用户的个人隐私，正确使用Cookies功能且确保Cookies安全，不泄露用户个人信息就显得尤为重要。

Cookies及其功能

图1 使用IE浏览器查看Cookies信息

Cookies是存储在用户计算机内，记录用户浏览相关网站用户信息的文本文件，是一种保持Web应用程序执行状态的技术手段，其目的是为了帮助相关网站记住用户信息状态。

用户使用不同的浏览器访问网站时，Cookies会存储在相应浏览器的文件夹内，同时，会以用户访问网站的域名为名称生成相应的文件夹。可以将Cookies看作成不同的“仓库”，“仓库”内有很多的“房间”，这些“房间”内存放的是就是用户信息，“仓库”因用户使用浏览器的不同，其“物理位置”也会不同，“仓 库”内“房间”的名称就是用户浏览相应网站的域名。用户在浏览相应网站时，网站服务器不仅会反馈给用户相应浏览网页，也会根据用户相关信息反馈一个包含有时间、日期等相应信息的Cookies，并将之存储在用户的硬盘上，Cookies信息会在网站服务器和用户浏览器之间进行传递，不同浏览器和不同网站之间的Cookies不会彼此覆盖。之后，当该用户再次访问网站时，浏览器会在用户硬盘Cookies文件夹内查找与该网站相关联的Cookies，如果该Cookies存在，那么浏览器便会将该Cookies和网页请求一起发送到网站，如图1所示，为使用IE浏览器查看Cookies信息的方法。当然，并不是所有的浏览器都将Cookies信息放在文本文件中，比如有的浏览器则是将Cookies信息存储在注册表中。

Cookies的主要安全隐患

Cookies有许多安全隐患，其中极易造成用户信息丢失的安全隐患主要有3点：

一是Cookies本身容量不足而易溢出。目前大多数浏览器最大仅支持4096字节的Cookies，同时还限制了存储的Cookies数量，如果要存储更多数量的Cookies，较早的Cookies便会被丢弃，所以当在使用Cookies时，特别是用户访问网站数量较多的时候，非常容易丢失关键网站的Cookies。

二是易遭受XSS攻击。XSS攻击为跨站脚本攻击，经常用来攻击存在XSS漏洞的用户和服务器，它允许恶意Web用户将代码植入到提供给其它用户使用的页面中，即攻击者可以把自己的代码越过安全边界线注射到另一个不同的、有漏洞的Web站点中，当这些注入的代码作为目标站点的代码在受害者的浏览器中执行时，攻击者就能窃取如用户网银、各类管理员帐号等各类敏感信息，可以读取、篡改、添加、删除企业敏感信息和钓鱼欺骗用户、在网站上挂木马等，其攻击过程如图2所示。

图2 XSS攻击过程

图3 清理Cookies方法

三是Cookies不能即时清除问题。因为Cookies有一定的生存周期，当用户A在使用自己的帐号上网后，有些信息还会驻留在计算机内，当后面的用户上网时，就会使用用户A的信息上网，这样就会出现用户A的信息被后面的用户冒用的现象，甚至做一些非法的操作等，特别是在网吧等公共场所上网或一机多用户操作时，就会给某些用户造成一定的个人信息泄露的损失，这也是Cookies的一个弊病，即在退出浏览器后，很多Cookies的信息不会被即时清除。

确保Cookies安全措施

一是做好XSS漏洞防御。现在XSS漏洞已经很少，用户需要及时升级自己上网所使用的浏览器版本，较旧版本的浏览器还不能很好地防御XSS漏洞。此外，XSS漏洞是利用了Web页面的编写不完善来进行攻击的，用户可以使用安全软件对包括URL、查询关键字、HTTP头、POST数据等在内的提交信息进行可靠的输入验证，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤，对包括Session标记或者HTTP引用头进行检查，以防Cookies被第三方网站所执行等。

二是定期清理Cookies。清理Cookies不仅可以清理系统上网垃圾，提高系统运行速度，还可以保证用户的上网信息不被泄露，用户必要养成定期清理Cookies的习惯，可以手动清除，也可以选择工具软件进行清除，清理Cookies虽然不能百分百的解决安全隐患，但可有效预防Cookies可能造成的安全隐患。当Cookies是在文件夹时，以IE浏览器为例，清除Cookies的方法如图3所示。也可以使用图1的方法，找到各Cookies文件，将其删除。

对 于Cookies在注册表中的清除方法如下（如 图 4所 示）：在Windows操作系统中运行“Regedit”，找到如下键 值：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/InternetSettings/Cache/SpecialPaths/Cookies，这是Cookies存留在内存中的键值，只要把这个键值删除即可。

三是必要时可以禁用Cookies或提高Cookies的安全级别。通过禁用Cookies、开启 Cookies安全警告或每次访问后删除与操作相关的Cookies方式防范跟踪Cookies，这里以IE浏览器为例，禁用Cookies方法和提高Cookies的安全级别如下（如图5所示）：打开“工 具 /Internet选 项”中的“隐私”选项卡，调整Cookies的安全级别。通常情况，可以调整到“中高”或者“高”的位置即可，也可以将安全级调到“阻止所有Cookies”。如果只是为了禁止个别网站的Cookies，可以单击“编辑”按钮，将要屏蔽的网站添加到列表中。在“高级”按钮选项中，可以对第一方Cookies和第三方的Cookies进行设置，第一方Cookies是用户浏览网站的Cookies，第三方 Cookies是非正在浏览的网站发给用户的Cookies，通常要对第三方Cookies选择“拒绝”，目前主流的浏览器都有禁止第三方Cookies的功能。若没有此项功能的浏览器，用户可以通过安全防护软件来防范跟踪Cookies。这里需要说明的是，禁止Cookies或提高Cookies安全级别虽然可以增强用户上网的安全级别，但也有可能会造成一些弊端或降低用户的上网体验，比如在一些需要Cookies支持的网站里，会发生一些莫名其妙的错误，如无法打开部分文件或不能使用包括免费电子邮件在内的某些网站功能等，所以笔者建议用户可以对上网的部分安全网站进行筛选。

图4 在注册表中清除Cookies方法

图5 禁用和提高Cookies方法

四是养成一个良好的上网习惯。不要在一些来源不明的网页上填写任何有关个人的隐私信息，特别是一些重要和敏感的信息，以免泄漏用户个人信息从而造成一些不必要的损失。例如在打开一些网站时，可以通过网站的信息来查看网站是否合法，合法的网站其安全性一般都值得信任和有保证的。一般合法的网站在网站的最下方有类似“京ICP证032616号”的网站信息，然后在搜索网站中搜索关于“国家工信部网站备案查询”，找到“工信部”主页，在主页中找到公共查询的入口，可在其中查询用户上网的网站是否合法。