论文部分内容阅读
[摘要]简要介绍Cookie特性及应用现状。重点讨论Cooke的安全性问题,提出集中防范Cookie泄密的安全措施。
[关键词]Cookie 信息安全 服务器
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)1220078-01
几乎所有的网站设计者都使用了Cookie技术。有些网站和机构滥用Cookie,未经访问者的许可就搜集用户的个人资料,以谋求商业利益。为此,从信息安全视角,分析Cookie技术特性,探讨防范Cookie泄露用户隐私的措施,保障使用Cookie技术的安全性显得尤为重要。
一、Cookie是什么
Cookie是由Internet站点创建的、将信息存储在计算机上的文件,Cookie也可以存储用户可识别信息,然而网站只能访问用户提供的个人可识别信息Cookie文件是由Web服务器创建存放在浏览器客户端的一个文本文件,其格式一般为:用户名@网站地址[数字].Txt。Cookie按其存放位置和保留的信息分为:永久Cookie、临时Cookie、运动的Cookie和恶意Cookie。Cookie文件信息片断以“名/值”对(namevalue pairs)的形式储存,一个“名,值”对仅仅是一条命名的数据。Cookie的主要功能是记录用户个人信息,支持Web站点保存有关访问者的信息。也就是说Cookie是一种记录Web应用程序交互式操作信息的方法,如记住用户名、用户输入数据等。
Cookie主要的应用领域包括:1.实现Web中的用户认证。2.定制个性化空间。3.网站访问统计。4.维护在线电子商务客户信息。5.记录站点轨迹,Cookie具有被读写的特性,能够存放客户端信息例如用户名、密码访问时间等。
二、Cookie的安全性问题
Cookie安全性问题有以下几种:
1.Cookie欺骗与Cookie截获:Cookie记录了用户账户、密码信息,通常使用MD5方法加密后在网上传递。例如他可以把别人的Cookie向服务器提交,从而通过验证,冒充受害人的身份登录网站从而达到个人的非法目的,这种行为叫做Cookie欺骗。例如,对于在线阅读,非法用户可以不支付费用即可享受在线阅读电子杂志。
2.个人信息泄露:当多人使用同一台计算机的时候,用户访问某些网站就会在计算机上遗留访问网站的Cookie。当有恶意用户使用该计算机的时候,他可以通过访问相同的网站使用受害者的账号,从而达到其不可告人的目的。
3.Cookie泄漏网络隐私:电子商务的兴起和互联网上巨大商机的出现导致了一些网站和机构滥用Cookie收集个人信息。Cookie技术的特性就导致了它容易泄露用户信息。
4.使用恶意Cookie:由于Cookie是文本文件,它也可以存放其他的信息,如果网站使用Cookie中的信息创建动态网页,那么在Cookie中存放的HTML代码段,在生成动态网页的时候就可能引入可执行代码,给用户造成严重的安全隐患。
5.Cookie篡改:如果用户修改了SetCookie报头,例如其expire项,将有效期延长,或者修改了其中的path值,使用户能访问服务器上的不被授权的内容;或修改其中的domain项,使用户能够访问不被授权的服务器从而获得合法的用户的信息等。
三、防范Cookie泄密的安全措施
本文通过对Cookie安全问题的研究.提出以下防范措施:
(一)加强安全防范意识
对于网站开发人员而言,在开发网站的时候应该注意只在Cookie中保存一些不重要的数据。如对应用程序没有重大影响的信息。如果确实需要在Cookie中保存某些敏感信息,就要对其加密,以防被他人盗用。还可以对Cookie的属性进行设置,使其只能在使用安全套接层协议(SSL)的连接上传输。SSL并不能防止保存在用户计算机上的Cookie被他人读取或操作,但能防止Cookie在传输途中被他人截获。
(二)配置安全的浏览器
在浏览器中一般都有禁止Cookie的设置选项,可以设置当某个站点要在用户的计算机上创建Cookie时,是否给出提示。这样用户就可以选择允许或拒绝创建Cookie。需要注意的是,某些网站必须使用Cookie,简单地禁止可能导致无法正常浏览此类网站。
IE6提供了多种隐私保护的功能,包括:查看网站的P3P隐私策略,以了解该网站如何使用个人可识别信息;通过Cookie隐私设置决定是否允许将网站的Cookie保存在计算机上;在访问不符合隐私设置条件的站点时发出隐私警报。用户可以有选择性地设置Cookie。
除此以外,当用户访问完网站之后可以通过浏览器的Internet选项,删除过时的Cookie,从而防止出现个人信息安全问题。
(三)安装Cookie管理工具
如Limit Software公司的Cookie Crusher,它的功能有:管理计算机上已有的Cookie、设置禁止或允许创建Cookie的网站列表、在创建新Cookie与修改已经存在的Cookie时发出警告、禁止第三方网站Cookie、实时控制接受或拒绝来自站点的Cookie、记录Cookie活动日志、编辑Cookie等,并且在网上浏览时,程序独创的分析功能可以自动确定网站要求创建的Cookie的目的,如:判断网站是把Cookie用于存储用户输入的资料还是准备利用Cookie跟踪用户的浏览习惯等,从而能够自动拒绝Cookies自动地写入你的机器。
(四)删除内存中的Cookies
Cookie还有部分信息保存在内存里。这类Cookie通常是用户在浏览某些网站时,由Web服务器自动在内存中生成的。一旦会话结束,系统又自动将Cookie从内存中删除。对此,需要借助注册表编辑器来修改系统设置.使关闭IE浏览器时自动把Cookie文件删除。运行Regedit,找到如下键值:HKEYL0CAILMACHINE\Software\Microsoft\Windows‘|Current Version |Internet Seftings|Cache|Special Paths\Cookies,这是Cookies在内存中的键值。右键单击“Cookies”,再单击快捷菜单中的“删除”命令确认删除。
四、结束语
从Cookie技术特性的本质上来讲它是一种不安全的技术,所以其存在潜在的安全威胁。但是我们通过采用加强防范意识,配置安全的浏览器,使用Cookie管理工具等措施能有效地防止Cookie泄露用户隐私,保障信息安全。
参考文献:
[1]洪洲、艾菊梅,Cookie技术在PHP中的应用[J].计算机与现代化,2004(1):101105.
[2]孟晓明,防范Cookie泄密的一些对策[J].Computer Era,2005(4):8-10.
[3]胡宁,浅析Cookies的缺陷及防范[J].辽宁行政学院学报,2006(4):126127.
[关键词]Cookie 信息安全 服务器
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2008)1220078-01
几乎所有的网站设计者都使用了Cookie技术。有些网站和机构滥用Cookie,未经访问者的许可就搜集用户的个人资料,以谋求商业利益。为此,从信息安全视角,分析Cookie技术特性,探讨防范Cookie泄露用户隐私的措施,保障使用Cookie技术的安全性显得尤为重要。
一、Cookie是什么
Cookie是由Internet站点创建的、将信息存储在计算机上的文件,Cookie也可以存储用户可识别信息,然而网站只能访问用户提供的个人可识别信息Cookie文件是由Web服务器创建存放在浏览器客户端的一个文本文件,其格式一般为:用户名@网站地址[数字].Txt。Cookie按其存放位置和保留的信息分为:永久Cookie、临时Cookie、运动的Cookie和恶意Cookie。Cookie文件信息片断以“名/值”对(namevalue pairs)的形式储存,一个“名,值”对仅仅是一条命名的数据。Cookie的主要功能是记录用户个人信息,支持Web站点保存有关访问者的信息。也就是说Cookie是一种记录Web应用程序交互式操作信息的方法,如记住用户名、用户输入数据等。
Cookie主要的应用领域包括:1.实现Web中的用户认证。2.定制个性化空间。3.网站访问统计。4.维护在线电子商务客户信息。5.记录站点轨迹,Cookie具有被读写的特性,能够存放客户端信息例如用户名、密码访问时间等。
二、Cookie的安全性问题
Cookie安全性问题有以下几种:
1.Cookie欺骗与Cookie截获:Cookie记录了用户账户、密码信息,通常使用MD5方法加密后在网上传递。例如他可以把别人的Cookie向服务器提交,从而通过验证,冒充受害人的身份登录网站从而达到个人的非法目的,这种行为叫做Cookie欺骗。例如,对于在线阅读,非法用户可以不支付费用即可享受在线阅读电子杂志。
2.个人信息泄露:当多人使用同一台计算机的时候,用户访问某些网站就会在计算机上遗留访问网站的Cookie。当有恶意用户使用该计算机的时候,他可以通过访问相同的网站使用受害者的账号,从而达到其不可告人的目的。
3.Cookie泄漏网络隐私:电子商务的兴起和互联网上巨大商机的出现导致了一些网站和机构滥用Cookie收集个人信息。Cookie技术的特性就导致了它容易泄露用户信息。
4.使用恶意Cookie:由于Cookie是文本文件,它也可以存放其他的信息,如果网站使用Cookie中的信息创建动态网页,那么在Cookie中存放的HTML代码段,在生成动态网页的时候就可能引入可执行代码,给用户造成严重的安全隐患。
5.Cookie篡改:如果用户修改了SetCookie报头,例如其expire项,将有效期延长,或者修改了其中的path值,使用户能访问服务器上的不被授权的内容;或修改其中的domain项,使用户能够访问不被授权的服务器从而获得合法的用户的信息等。
三、防范Cookie泄密的安全措施
本文通过对Cookie安全问题的研究.提出以下防范措施:
(一)加强安全防范意识
对于网站开发人员而言,在开发网站的时候应该注意只在Cookie中保存一些不重要的数据。如对应用程序没有重大影响的信息。如果确实需要在Cookie中保存某些敏感信息,就要对其加密,以防被他人盗用。还可以对Cookie的属性进行设置,使其只能在使用安全套接层协议(SSL)的连接上传输。SSL并不能防止保存在用户计算机上的Cookie被他人读取或操作,但能防止Cookie在传输途中被他人截获。
(二)配置安全的浏览器
在浏览器中一般都有禁止Cookie的设置选项,可以设置当某个站点要在用户的计算机上创建Cookie时,是否给出提示。这样用户就可以选择允许或拒绝创建Cookie。需要注意的是,某些网站必须使用Cookie,简单地禁止可能导致无法正常浏览此类网站。
IE6提供了多种隐私保护的功能,包括:查看网站的P3P隐私策略,以了解该网站如何使用个人可识别信息;通过Cookie隐私设置决定是否允许将网站的Cookie保存在计算机上;在访问不符合隐私设置条件的站点时发出隐私警报。用户可以有选择性地设置Cookie。
除此以外,当用户访问完网站之后可以通过浏览器的Internet选项,删除过时的Cookie,从而防止出现个人信息安全问题。
(三)安装Cookie管理工具
如Limit Software公司的Cookie Crusher,它的功能有:管理计算机上已有的Cookie、设置禁止或允许创建Cookie的网站列表、在创建新Cookie与修改已经存在的Cookie时发出警告、禁止第三方网站Cookie、实时控制接受或拒绝来自站点的Cookie、记录Cookie活动日志、编辑Cookie等,并且在网上浏览时,程序独创的分析功能可以自动确定网站要求创建的Cookie的目的,如:判断网站是把Cookie用于存储用户输入的资料还是准备利用Cookie跟踪用户的浏览习惯等,从而能够自动拒绝Cookies自动地写入你的机器。
(四)删除内存中的Cookies
Cookie还有部分信息保存在内存里。这类Cookie通常是用户在浏览某些网站时,由Web服务器自动在内存中生成的。一旦会话结束,系统又自动将Cookie从内存中删除。对此,需要借助注册表编辑器来修改系统设置.使关闭IE浏览器时自动把Cookie文件删除。运行Regedit,找到如下键值:HKEYL0CAILMACHINE\Software\Microsoft\Windows‘|Current Version |Internet Seftings|Cache|Special Paths\Cookies,这是Cookies在内存中的键值。右键单击“Cookies”,再单击快捷菜单中的“删除”命令确认删除。
四、结束语
从Cookie技术特性的本质上来讲它是一种不安全的技术,所以其存在潜在的安全威胁。但是我们通过采用加强防范意识,配置安全的浏览器,使用Cookie管理工具等措施能有效地防止Cookie泄露用户隐私,保障信息安全。
参考文献:
[1]洪洲、艾菊梅,Cookie技术在PHP中的应用[J].计算机与现代化,2004(1):101105.
[2]孟晓明,防范Cookie泄密的一些对策[J].Computer Era,2005(4):8-10.
[3]胡宁,浅析Cookies的缺陷及防范[J].辽宁行政学院学报,2006(4):126127.