快压

当前位置:首页 > 电脑技巧 > 正文

对于浏览器Cookie你了解多少

浏览次数:|更新日期:2015年01月01日

  对于Cookie你了解多少?Cookie在英文中是小甜品de意思,而这个词我们总能在浏览器中看到,食品怎么会跟浏览器扯上关系呢?在你浏览以前登陆过de网站时可能会在网页中出现:你好XX,感觉很亲切,就好像是吃了一个小甜品一样。这其实是通过访问你主机里边de一个文件来实现de,因此这个文件也就被称为了Cookie。想全面了解Cookie吗?看看下文吧!
  一、了解Cookie 适用对象:初级读者
  Cookie是当你浏览某网站时,网站存储在你机器上de一个小文本文件,它记录了你de用户ID,密码、浏览过de网页、停留de时间等信息,当你再次来到该网站时,网站通过读取Cookie,得知你de相关信息,就可以做出相应de动作,如在页面显示欢迎你de标语,或者让你不用输入ID、密码就直接登录等等。你可以在IEde工具/Internet选项de常规选项卡中,选择设置/查看文件,查看所有保存到你电脑里deCookie。这些文件通常是以user@domain格式命名de,user是你de本地用户名,domain是所访问de网站de域名。如果你使用NetsCape浏览器,则存放在C:PROGRAMFILESNETSCAPEUSERS里面,与IE不同de是,NETSCAPE是使用一个Cookie文件记录所有网站deCookies。
  为了保证上网安全我们需要对Cookie进行适当设置。打开工具/Internet选项中de隐私选项卡(注意该设置只在IE6.0中存在,其他版本IE可以在工具/Internet选项de安全标签中单击自定义级别按钮,进行简单调整),调整Cookiede安全级别。通常情况,可以将滑块调整到中高或者高de位置。多数de论坛站点需要使用Cookie信息,如果你从来不去这些地方,可以将安全级调到阻止所有Cookies。如果只是为了禁止个别网站deCookie,可以单击编辑按钮,将要屏蔽de网站添加到列表中。在高级按钮选项中,你可以对第一方Cookie和第三方deCookie进行设置,第一方Cookie是你正在浏览de网站deCookie,第三方Cookie非正在浏览de网站发给你deCookie,通常要对第三方Cookie选择拒绝。你如果需要保存Cookie,可以使用IEde导入导出功能,打开文件/导入导出,按提示操作即可。
  Cookie中de内容大多数经过了加密处理,因此在我们看来只是一些毫无意义de字母数字组合,只有服务器deCGI处理程序才知道它们真正de含义。通过一些软件我们可以查看到更多de内容,使用Cookie Pal软件查看到deCookie信息,如所示。它为我们提供了Server、Expires、Name、value等选项de内容。其中,Server是存储Cookiede网站,Expires记录了Cookiede时间和生命期,Name和value字段则是具体de数据。
  二、Cookiede传递流程 适用对象:中级读者
  当在浏览器地址栏中键入了一个Web站点deURL,浏览器会向该Web站点发送一个读取网页de请求,并将结果在显示器上显示。这时该网页在你de电脑上寻找Amazon网站设置deCookie文件,如果找到,浏览器会把Cookie文件中de数据连同前面输入deURL一同发送到Amazon服务器。服务器收到Cookie数据,就会在他de数据库中检索你deID,你de购物记录、个人喜好等信息,并记录下新de内容,增加到数据库和Cookie文件中去。如果没有检测到Cookie或者你deCookie信息与数据库中de信息不符合,则说明你是第一次浏览该网站,服务器deCGI程序将为你创建新deID信息,并保存到数据库中。
  Cookie是利用了网页代码中deHTTP头信息进行传递de,浏览器de每一次网页请求,都可以伴随Cookie传递,例如,浏览器de打开或刷新网页操作。服务器将Cookie添加到网页deHTTP头信息中,伴随网页数据传回到你de浏览器,浏览器会根据你电脑中deCookie设置选择是否保存这些数据。如果浏览器不允许Cookie保存,则关掉浏览器后,这些数据就消失。Cookie在电脑上保存de时间是不一样de,这些都是由计算机服务器de设置不同决定得。Cookie有一个Expires(有效期)属性,这个属性决定了Cookiede保存时间,服务器可以通过设定Expires字段de数值,来改变Cookiede保存时间。如果不设置该属性,那么Cookie只在浏览网页期间有效,关闭浏览器,这些Cookie自动消失,绝大多数网站属于这种情况。通常情况下,Cookie包含Server、Expires、Name、value这几个字段,其中对服务器有用de只是Name和value字段,Expires等字段de内容仅仅是为了告诉浏览器如何处理这些Cookies。
  三、Cookiede编程实现 适用对象:高级读者
  多数网页编程语言都提供了对Cookiede支持。如javascript、VBScript、Delphi、ASP、SQL、PHP、C#等。在这些面向对象de编程语言中,对Cookiede编程利用基本上是相似de,大体过程为:先创建一个Cookie对象(Object),然后利用控制函数对Cookie进行赋值、读取、写入等操作。那么如何通过代码来获取其他用户Cookie中de敏感信息?下面进行简单de介绍。
  该方法主要有两步,首先要定位你需要收集Cookiede网站,并对其进行分析,并构造URL;然后编制收集CookiedePHP代码,并将其放到你可以控制de网站上,当不知情者单击了你构造deURL后可以执行该PHP代码。
  四、Cookiede安全问题 适用对象:所有希望上网安全de读者
  1.Cookie欺骗
  Cookie记录着用户de帐户ID、密码之类de信息,如果在网上传递,通常使用de是MD5方法加密。这样经过加密处理后de信息,即使被网络上一些别有用心de人截获,也看不懂,因为他看到de只是一些无意义de字母和数字。然而,现在遇到de问题是,截获Cookiede人不需要知道这些字符串de含义,他们只要把别人deCookie向服务器提交,并且能够通过验证,他们就可以冒充受害人de身份,登陆网站。这种方法叫做Cookie欺骗。Cookie欺骗实现de前提条件是服务器de验证程序存在漏洞,并且冒充者要获得被冒充de人deCookie信息。目前网站de验证程序要排除所有非法登录是非常困难de,例如,编写验证程序使用de语言可能存在漏洞。而且要获得别人Cookie是很容易de,用支持Cookiede语言编写一小段代码就可以实现(具体方法见三),只要把这段代码放到网络里,那么所有人deCookie都能够被收集。如果一个论坛允许HTML代码或者允许使用Flash标签就可以利用这些技术收集Cookiede代码放到论坛里,然后给帖子取一个吸引人de主题,写上有趣de内容,很快就可以收集到大量deCookie。在论坛上,有许多人de密码就被这种方法盗去de。至于如何防范,目前还没有特效药,我们也只能使用通常de防护方法,不要在论坛里使用重要de密码,也不要使用IE自动保存密码de功能,以及尽量不登陆不了解底细de网站。
  2.Flashde代码隐患
  Flash中有一个getURL()函数,Flash可以利用这个函数自动打开指定de网页。因此它可能把你引向一个包含恶意代码de网站。打个比方,当你在自己电脑上欣赏精美deFlash动画时,动画帧里de代码可能已经悄悄地连上网,并打开了一个极小de包含有特殊代码de页面。这个页面可以收集你deCookie、也可以做一些其他de事情,比如在你de机器上种植木马甚至格式化你de硬盘等等。对于Flashde这种行为,网站是无法禁止de,因为这是Flash文件de内部行为。我们所能做到de,如果是在本地浏览尽量打开防火墙,如果防火墙提示de向外发送de数据包并不为你知悉,最好禁止。如果是在Internet上欣赏,最好找一些知名de大网站。