Cookies安全问题探讨

Cookies安全问题探讨

摘要：cookies已广泛应用在各种web服务中，该文分析了cookies在web服务中的应用，指出了利用cookies不当获取用户隐私的现象，在此基础上，探讨加强防范意识和对网页浏览器进行设置，阻止cookies泄密的安全措施。

关键词：web服务；cookies；隐私保护；安全措施；浏览器

中图分类号：tp393 文献标识码：a 文章编号：1009-3044（2013）14-3273-04

2013年央视的315晚会报道称，多家互联网广告营销公司涉嫌通过cookies等方式，侵犯用户的个人隐私信息。央视指出，易传媒、品友互动、悠易互通、亿玛等互联网广告营销公司都在依靠cookies 信息进行精准广告的营销行为[1]。这些公司的常见做法就是通过在门户网站的广告中添加代码，以获取用户电脑中的cookies信息。在整个事件中，cookies无疑是最重要的关键词。那么，cookies

技术到底是什么？它是否会泄露用户的个人隐私吗？针对上述问题，该文在剖析cookies技术的基础上，探讨其存在的安全隐患以及给出相应的防范措施。

1 cookies技术概述

cookies[2]最早是网景公司的前雇员lou montulli在1993年3月的发明，用于以弥补无状态http协议的不足。为了减少设计，web服务采用的http协议具有无状态性，用户对不同页面的访问，以及同一页面的不同次访问之间的是没有状态关联的。因此，web

服务需要引入其他辅助技术来存储用户的访问信息，目前，主要有两种session技术[3]和cookies技术。

cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。cookies是当你浏览某网站时，由web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户id、密码、浏览过的页面、停留的时间等信息。当你再次来到该网站时，网站通过读取cookies，得知你的相关信息，就可以做出相应的动作。从本质上讲，它可以看作是你的身份证。但cookies不能作为代码执行，也不会传送病毒，且为你所专有，并只能由提供它的服务器来读取。保存的信息片断以“名/值”对（name-value pairs）的形式储存，一个“名/值”对仅仅是一条命名的数据。一个网站只能取得它放在你的电脑中的信息，它无法从其它的cookies文件中取得信息，也无法得到你的电脑上的其它任何东西。 cookies中的内容大多数经过了加密处理，因此一般用户看来只是一些毫无意义的字母数字组合，只有服务器的cgi （common gateway interface）处理程序才知道它们真正的含义[4]。

cookies文件的存放位置为：“系统盘符：＼documents and settings＼＼＼local settings＼temporary internet files”文件夹，如图1所示。

每个cookies一般都会有一个有效期限，当用户访问网站时，浏览器会自动删除过期的cookies。如果不设置过期时间，则表示这

个cookies生命周期为浏览器会话期间，只要关闭浏览器窗口，cookies就消失了。这种生命期为浏览会话期的cookies被称为会话cookies。会话cookies一般不保存在硬盘上而是保存在内存里。如果设置了过期时间，浏览器就会把cookies保存到硬盘上，关闭后再次打开浏览器，这些cookies依然有效直到超过设定的过期时间。存储在硬盘上的cookies可以在不同的浏览器进程间共享，比如两个ie窗口。而对于保存在内存的cookies，不同的浏览器有不同的处理方式。

此外，还有一种flash cookies，其正确名称应该是“flash player 本地存储”。许多使用flash的网站使用此功能记住如下信息：输入的表单信息、在线游戏进度或高分、喜好设置（如最喜欢的播放音量）或在观看视频时上次离开的位置，还有网页游戏中的缓存。有些单机flash 游戏的游戏记录功能就是依靠flash player 本地存储。

2 cookies技术在web服务中的应用

从理论上讲，web服务器可以利用cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在http传输中的状态。cookies 最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是cookies的功用。cookies技术在web服务中的具体应用主要包含以下几个方面：

2.1 购物车

购物车指的是应用于网店的在线购买功能，它类似于超市购物时使用的推车或篮子，可以暂时把挑选商品放入购物车、删除或更改购买数量，并对多个商品进行一次结款，是网上商店里的一种快捷购物工具。为了存在购物用户在不同商品页面上选购的商品，网站可以先将这些预选的商品信息临时存在cookies文件中，类似于超市中的购物车。购物网站的购物车在用户没有登录时依然能够保存用户所选物品，乃至到了另一页面不丢失，也是cookies的功劳。

2.2 实现自动登录

当你在某个网站的登录框输入了用户名和密码，又勾选了下次自动登录时，关闭浏览器甚至重新开机后进入该网站，都会自动登录该账号，而无需用户再次输入账号和密码，这是cookies的功劳。当用户在某个网站注册后，就会收到一个惟一用户id的cookies。客户后来重新连接时，这个id会自动返回，服务器对它进行检查，确定它是否为注册用户且选择了自动登录，从而使用户无需给出明确的用户名和密码，就可以访问服务器上的资源。

2.3 精准广告

用户在购物网站购物时，浏览了某类商品，然后在下一页面或者是下一次进入时，就会有同类商品的推荐广告出现，这样的精准广告投放也是cookies的功劳。

所谓精准广告是指利用浏览历史或者搜索特征关键词对用户进

行分类，同时与广告主产品的特征进行关联，匹配和排序。可以实现针对1个到1亿个网民群体的投放。百度在2006年7月12日为