分享
 
 
 

不容忽视:挖掘Cookies背后安全隐患

王朝数码·作者佚名  2008-11-17
窄屏简体版  字體: |||超大  

Google产品在最近暴露一个安全漏洞,这个漏洞可窃取Google的cookie,它存在于一款基于网页的对照购物产品——Froogle。公司宣称已经把该漏洞标记为潜在安全漏洞,并对其进行修复。现时和未来的Froogle用户都会受到保护。某爱尔兰安全专家表示,恶意用户可以利用该漏洞在Froogle的URL中植入一个JavaScript。一旦这个链接被用户点击了,JavaScript就可启动浏览器重定向到一个恶意页面上,进而偷取Google的cookie信息,而这些cookie文件往往包含有“Google Accounts”登录服务的用户名和密码。另外,该漏洞还可以窃取Gmail邮件帐号。

Cookies是服务器存放在客户端上的一个文本文件,主要用来存放用户资料、帐户以及密码等相关信息。当我们访问一个需要用户名与密码才能够登陆的网页,其往往会提示用户,“是否需要保存用户名与密码”。这个信息就是保存在这个cookies文件中。

如当用户在浏览SOHU网站的时候,WEB服务器会发送一个小文件存放在客户端上。这个cookies会对你访问的网页内容进行一些记录,如邮件用户名与密码。如此的话,下次你再次访问的时候,就不需要再输入用户名与密码,而系统可以自动读取cookies文件中的用户名与密码,实现自动登录的功能。

一、设计意图。

现在cookies文件使用很普遍。许多网站,都提供了个性化的服务,都是通过cookies来实现的。程序员起初设计的时候,主要是出于两个目的:

一是给用户提供自动登录的功能。如网站上一些论坛、博客、邮件等等,都需要通过用户名与密码才能够访问。有些用户比较“懒”,他们喜欢让浏览器记住用户名与密码,从而省去他们重复输入用户名与密码的工作。

二是给客户提供一些个性化的服务,并且可以用来收集一些用户信息。通过cookies文件,网站服务器就可以跟踪统计用户访问某个网站的习惯。比如什么时间访问、主要关注哪些内容、在每个页面的停留时间等等。这些信息,对于用户来说可能无关紧要。但是,对于网站经营者来说,则具有非常现实的意义已。如他们可以凭借这些信息,调整自己的网站内容,以提高流量。

所以,cookies的设计意图是好的。但是,若用户使用不当,则其也会带来一定的安全隐患。二、安全隐患。

Cookies记录的相关信息虽然在客户端上是加密过的,一般用户无法直接打开查询里面的信息。但是,其仍然存在一些不可避免的安全隐患。

1、cookies的即时注销问题。

若我们现在在使用Yahoo网站的邮箱。一个用户登录进去后,没有利用网站的安全退出功能退出。而是直接把网页关闭或者直接输入新浪的网址。此时,在一段时间内,若用户再次回到Yahoo的邮箱,不用输入用户名与密码,仍然可以访问。

也就是说,浏览器会默认保存帐户名与密码一段时间。除非我们通过网站的“安全退出”功能,浏览器会即时删除相关的cookies信息。若是直接关闭网站或者直接在原网页中打开另一个网站,浏览器会保存cookies信息一段时间。

如果用户在网站等公共场所上网,其没有通过安全退出功能,则其邮箱、博客、论坛等等,很可能被后来的用户所冒用,进行一些非法的操作,从而给用户带来一定的损失。故只要用户没有安全注销,则在cookies会话没有超时之前,再回来,仍然具有原先的操作权限。到目前为止,这是cookies本身的弊病,还没有很好的方法可以实现自动注销,即在网页关闭的时候,自动清除cookies中的帐户名与密码信息。

解决方法:

不少网站也已经注意到这方面的安全隐患。所以在一些网站的邮件、博客、论坛等页面,都有一个“安全退出”的功能。若用户在退出某个网页的时候,不是直接关闭或者直接转接到其它网站,而先是通过“安全退出”功能,则浏览器会自动清除cookies中的相关信息。安全退出来,若用户再回来的话,就需要重新输入用户名与密码才可以进行访问。

所以,对于邮箱、网上银行等页面,用户再访问完毕之后,不要怕麻烦,请务必利用“安全退出”功能正常的退出。以防给其它人有机可乘。特别是在公共场所访问的时候,特别要注意。

2、在多用户主机上,保存用户名与密码。

在企业中,有可能多个用户使用一台主机。在这种情况下,若让浏览器自动记住“用户名与密码”,显然是很愚蠢的一个行为。因为这么做,任何用户在不经过你同意的情况下,都可以利用你的帐户名与密码访问相关网站。

这主要是员工在家庭电脑上遗传过来的一个坏习惯。在家里,反正就自己家里人用用,让浏览器记住用户名与密码也没有什么问题,反而不用每次输入用户名与密码,觉得很方便。但是,在企业中,由于多个员工共用一台电脑,除非设置了不同的用户,否则的话,cookie文件中的信息就是共享的。就存在很大的安全隐患。

解决方法:

由于cookie文件是存放在用户文件夹下面的。所以,若确实要保存用户名与密码的话,则最好给每个用户设置不同的用户名。当他们需要使用电脑时,利用自己的用户名登录。这样操作,cookie文件就不会被不同的用户所共享。

若不小心让网页保存了“用户名或者密码”的话,也可以通过浏览器自带的工具清除。在IE浏览器上,选择“工具”、“Internet选项”。在打开的对话框内,选择“删除cookies”。系统就会自动删除相关的cookie文件。不过在做这个操作的时候,需要注意,这个也是针对特殊的用户来说的。如Windows操作系统有连个用户A与B。当以A的帐户登录进去的时候,只能够删除跟帐户A相关的cookie文件,而不能够删除帐户B建立的cookie文件。若要删除操作系统中全部用户的cookie文件,就必须一个个的进行删除。或者以管理员用户进去,找到存储路径后直接删除。3、操作系统重装后,导致cookies信息丢失。

在实际工作中,还有一些粗心鬼。他们在一个网站上申请了一个ID后,就顺手设置了“自动保存用户名与密码”。他们以为这就万无一失了,所以没有用笔记录下用户名与密码。当操作系统崩溃,系统重装后,他们才发现用户名与密码找不回来了。笔者以前在从事网络管理工作的时候,就经常接到这种求助电话。可是,遇到这种情况,笔者也爱莫能助。

解决方法:

针对这种情况,一定要注意在平时的时候,最好cookie文件的备份。其实,cookie文件的备份方法有很多。笔者这里介绍最常见的两种方法。

一是通过IE浏览器自带的导入导出功能。打开IE浏览器,选择“文件”。会看到一个导入导出的功能。在这里,可以把这个用户名义下的所有cookie文件导出到非系统盘。如此的话,当系统重新安装后,只需要把这个文件重新导入即可。不过,这个方法有个缺陷,需要定时的进行备份。不然的话,操作系统突然崩溃时,即使恢复了,可能部分cookie文件信息也会丢失。

二是更改cookie存储路径。我们可以更改cookie文件的存储路径。默认情况下,他是保存在/Documents and Settings/用户名/Cookies下。我们可以通过更改注册表,让其保存在非系统盘中。这么更改后,即使以后操作系统崩溃了,则只要把Cookies文件的存放位置重定向,则Cookies信息就不会丢失。另外,一些小工具也可以帮助我们实现这个目的,如优化大师等等。

三、设置cookies下载警告,用户做到心中有数。

我们可以通过cookie下载警告,来提高cookie的安全性。也就是说,当网站向客户端传送cookie文件的时候,网页会有一个警告信息,由用户来判断是否需要下载cookie这个文件。这么设置以后,客户端的IE就不会自作主张的去下载cookie文件。当IE从某个站点接受cookie文件时,都会显示一个警告信息,客户可以选择接受还是不接受。

我们可以在工具-Internet-选项中的“高级”页签对话框内,看到有一个关于cookie的选项。其有两个内容可以选择,分别是“总是接受cookie文件”与“接收cookie文件之前提示”两个选项。不同版本的浏览器可能称呼有所不同。默认情况下,系统采用的是前者。若我们需要系统提醒cookie信息的话,则就需要选中后面这一项。

另外,虽然用户也可以通过其它方法,如防火墙等等,强制关闭cookie文件下载。这虽然可以从跟原来消除cookie文件的安全隐患,但是,笔者不怎么建议采用。这主要是因为有不少的网站,其必须要求有cookie支持。若客户段强制关闭cookie文件下载的话,则可能会导致某些网站无法访问或者某些功能无法正常使用。

虽然Cookies的出现,确实给用户或者网站经营者提供了很大的方便。但是,隐藏在其背后的安全隐患,我们也不能够忽视。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有