论文部分内容阅读
Google产品在最近暴露一个安全漏洞,这个漏洞可窃取Google的cookies,它存在于一款基于网页的对照购物產品——Froogle。公司宣称已经把该漏洞标记为潜在安全漏洞,并对其进行修复。现时和未来的Froogle用户都会受到保护。某爱尔兰安全专家表示,恶意用户可以利用该漏洞在Froogle的URL中植入一个Java。一旦这个链接被用户点击了,Java就可启动浏览器重定向到一个恶意页面上,进而偷取Google的cookies信息,而这些cookies文件往往包含有“GoogleAccounts”登录服务的用户名和密码。另外,该漏洞还可以窃取Gmail邮件账号。
Cookies是服务器存放在客户端上的一个文本文件,主要用来存放用户资料、账户以及密码等相关信息。当我们访问一个需要用户名与密码才能够登录的网页,其往往会提示用户:“是否需要保存用户名与密码”。这个信息就是保存在这个cookies文件中。
当用户在浏览SOHU网站的时候,WEB服务器会发送一个小文件存放在客户端上。这个cookies会对你访问的网页内容进行一些记录,如邮件用户名与密码。如此的话,下次你再次访问的时候,就不需要再输入用户名与密码。而系统可以自动读取cookies文件中的用户名与密码,实现自动登录的功能。
一、设计意图
现在cookies文件使用很普遍。许多网站,都提供了个性化的服务,都是通过cook-[es来实现的。程序员起初设计的时候,主要是出于两个目的:
一是给用户提供自动登录的功能。如网站上一些论坛、博客、邮件等等,都需要通过用户名与密码才能够访问。有些用户比较“懒”,他们喜欢让浏览器记住用户名与密码,从而省去他们重复输入用户名与密码的工作。
二是给客户提供一些个性化的服务,并且可以用来收集一些用户信息。通过cook-les文件,网站服务器就可以跟踪统计用户访问某个网站的习惯。比如什么时间访问、主要关注哪些内容、在每个页面的停留时间等等。这些信息,对于用户来说可能无关紧要。但是,对于网站经营者来说,则具有非常现实的意义。如他们可以凭借这些信息,调整自己的网站内容,以提高流量。
所以,cookies的设计意图是好的。但是,若用户使用不当,则其也会带来一定的安全隐患。
二、安全隐患
Cookies记录的相关信息虽然在客户端上是加密过的,一般用户无法直接打开查询里面的信息。但是,其仍然存在一些不可避免的安全隐患。
1 cookies的即时注销问题
若我们现在在使用Yahoo网站的邮箱。一个用户登录进去后,没有利用网站的安全退出功能退出。而是直接把网页关闭或者直接输入新浪的网址。此时,在一段时间内,若用户再次回到Yahoo的邮箱,不用输入用户名与密码,仍然可以访问。
也就是说,浏览器会默认保存账户名与密码一段时间。除非我们通过网站的“安全退出”功能,浏览器会即时删除相关的cookies信息。若是直接关闭网站或者直接在原网页中打开另一个网站,浏览器会保存cookies信息一段时间。
如果用户在网站等公共场所上网,其没有通过“安全退出”功能,则其邮箱、博客、论坛等等,很可能被后来的用户所冒用,进行一些非法的操作,从而给用户带来一定的损失。故只要用户没有安全注销,则在cookies会话没有超时之前,再回来,仍然具有原先的操作权限。到目前为止,这是cookies本身的弊病,还没有很好的方法可以实现自动注销,即在网页关闭的时候,自动清除cookies中的账户名与密码信息。
解决方法:
不少网站也已经注意到这方面的安全隐患。所以在一些网站的邮件、博客、论坛等页面,都有一个“安全退出”的功能。若用户在退出某个网页的时候,不是直接关闭或者直接转接到其他网站,而先是通过“安全退出”功能,则浏览器会自动清除cookies中的相关信息,安全退出来。若用户再回来的话,就需要重新输入用户名与密码才可以进行访问。
所以,对于邮箱、网上银行等页面,用户在访问完毕之后,不要怕麻烦,请务必利用“安全退出”功能正常地退出。以防给其他人有机可乘。特别是在公共场所访问的时候,特别要注意。
2 在多用户主机上,保存用户名与密码
在企业中。有可能多个用户使用一台主机。在这种情况下。若让浏览器自动记住“用户名与密码”,显然是很愚蠢的一个行为。因为这么做,任何用户在不经过你同意的情况下,都可以利用你的账户名与密码访问相关网站。
这主要是员工在家庭电脑上遗传过来的一个坏习惯。在家里,反正就自己家里人用用,让浏览器记住用户名与密码也没有什么问题,反而不用每次输入用户名与密码,觉得很方便。但是,在企业中,由于多个员工共用一台电脑,除非设置了不同的用户,否则的话。cookies文件中的信息就是共享的。就存在很大的安全隐患。
解决方法:
由于cookies文件是存放在用户文件夹下面的。所以,若确实要保存用户名与密码的话,则最好给每个用户设置不同的用户名。当他们需要使用电脑时,利用自己的用户名登录。这样操作,cookies文件就不会被不同的用户所共享。
若不小心让网页保存了“用户名或者密码”的话。也可以通过浏览器自带的工具清除。在lE浏览器上,选择“工具”、“Internet选项”。在打开的对话框内,选择“删除cook-les”。系统就会自动删除相关的cookies文件。不过在做这个操作的时候。需要注意,这个也是针对特殊的用户来说的。如Windows操作系统有两个用户A与B。当以A的账户登录进去的时候,只能够删除跟账户A相关的cookies文件,而不能够删除账户B建立的cookies文件。若要删除操作系统中全部用户的cookies文件,就必须一个个地进行删除。或者以管理员用户进去,找到存储路径后直接删除。
3操作系统重装后,导致cookies信息丢失
在实际工作中,还有一些粗心鬼。他们在一个网站上申请了一个lD后,就顺手设置了“自动保存用户名与密码”。他们以为这就万无一失了,所以没有用笔记录下用户名与密码。当操作系统崩溃,系统重装后,他们才发现用户名与密码找不回来了。笔者以前在从事网络管理工作的时候,就经常接到这种求助电话。可是,遇到这种情况,笔者也爱莫能助。
解决方法:
针对这种情况,一定要注意在平时的时候,最好将cookies文件备份。其实,cookies文件的备份方法有很多。笔者这里介绍最常见的两种方法。
一是通过IE浏览器自带的导入导出功能。打开IE浏览器,选择“文件”。会看到一个导入导出的功能。在这里,可以把这个用户名下的所有cookies文件导出到非系统盘。如此的话,当系统重新安装后,只需要把这个文件重新导入即可。不过,这个方法有个缺陷,需要定时地进行备份。不然的话,操作系统突然崩溃时,即使恢复了,可能部分cookies文件信息也会丢失。
二是更改cookies存储路径。我们可以更改cookies文件的存储路径。默认情况下。其保存在/Documents and SettingS/用户名/Cookies下。我们可以通过更改注册表,让其保存在非系统盘中。这么更改后,即使以后操作系统崩溃了,则只要把Cookies文件的存放位置重定向。则Cookies信息就不会丢失。另外,一些小工具也可以帮助我们实现这个目的,如优化大师等。
三、设置cookies下载警告,用户做到心中有数
我们可以通过cookies下载警告,来提高cookies的安全性。也就是说,当网站向客户端传送cookies文件的时候,网页会有一个警告信息,由用户来判断是否需要下载cookies这个文件。这么设置以后,客户端的IE就不会自作主张地去下载cookies文件。当IE从某个站点接受cookies文件时,都会-显示一个警告信息,客户可以选择接受还是不接受。
我们可以在工具Internet-选项中的“高级”标签对话框内,看到有一个关于cookies的选项。其有两个内容可以选择。分别是“总是接受cookies文件”与“接收cookies文件之前提示”两个选项。不同版本的浏览器可能称呼有所不同。默认情况下。系统采用的是前者。若我们需要系统提醒cookies信息的话,就需要选中后面这一项。
另外,虽然用户也可以通过其他方法,如防火墙等,强制关闭cookies文件下载。这虽然可以从根源来消除cookies文件的安全隐患,但是,笔者不怎么建议采用。这主要是因为有不少的网站,其必须要求有cookies支持。若客户端强制关闭cookies文件下载的话,则可能会导致某些网站无法访问或者某些功能无法正常使用。
虽然cookies的出现,确实给用户或者网站经营者提供了很大的方便。但是,隐藏在其背后的安全隐患,我们也不能够忽视。
Cookies是服务器存放在客户端上的一个文本文件,主要用来存放用户资料、账户以及密码等相关信息。当我们访问一个需要用户名与密码才能够登录的网页,其往往会提示用户:“是否需要保存用户名与密码”。这个信息就是保存在这个cookies文件中。
当用户在浏览SOHU网站的时候,WEB服务器会发送一个小文件存放在客户端上。这个cookies会对你访问的网页内容进行一些记录,如邮件用户名与密码。如此的话,下次你再次访问的时候,就不需要再输入用户名与密码。而系统可以自动读取cookies文件中的用户名与密码,实现自动登录的功能。
一、设计意图
现在cookies文件使用很普遍。许多网站,都提供了个性化的服务,都是通过cook-[es来实现的。程序员起初设计的时候,主要是出于两个目的:
一是给用户提供自动登录的功能。如网站上一些论坛、博客、邮件等等,都需要通过用户名与密码才能够访问。有些用户比较“懒”,他们喜欢让浏览器记住用户名与密码,从而省去他们重复输入用户名与密码的工作。
二是给客户提供一些个性化的服务,并且可以用来收集一些用户信息。通过cook-les文件,网站服务器就可以跟踪统计用户访问某个网站的习惯。比如什么时间访问、主要关注哪些内容、在每个页面的停留时间等等。这些信息,对于用户来说可能无关紧要。但是,对于网站经营者来说,则具有非常现实的意义。如他们可以凭借这些信息,调整自己的网站内容,以提高流量。
所以,cookies的设计意图是好的。但是,若用户使用不当,则其也会带来一定的安全隐患。
二、安全隐患
Cookies记录的相关信息虽然在客户端上是加密过的,一般用户无法直接打开查询里面的信息。但是,其仍然存在一些不可避免的安全隐患。
1 cookies的即时注销问题
若我们现在在使用Yahoo网站的邮箱。一个用户登录进去后,没有利用网站的安全退出功能退出。而是直接把网页关闭或者直接输入新浪的网址。此时,在一段时间内,若用户再次回到Yahoo的邮箱,不用输入用户名与密码,仍然可以访问。
也就是说,浏览器会默认保存账户名与密码一段时间。除非我们通过网站的“安全退出”功能,浏览器会即时删除相关的cookies信息。若是直接关闭网站或者直接在原网页中打开另一个网站,浏览器会保存cookies信息一段时间。
如果用户在网站等公共场所上网,其没有通过“安全退出”功能,则其邮箱、博客、论坛等等,很可能被后来的用户所冒用,进行一些非法的操作,从而给用户带来一定的损失。故只要用户没有安全注销,则在cookies会话没有超时之前,再回来,仍然具有原先的操作权限。到目前为止,这是cookies本身的弊病,还没有很好的方法可以实现自动注销,即在网页关闭的时候,自动清除cookies中的账户名与密码信息。
解决方法:
不少网站也已经注意到这方面的安全隐患。所以在一些网站的邮件、博客、论坛等页面,都有一个“安全退出”的功能。若用户在退出某个网页的时候,不是直接关闭或者直接转接到其他网站,而先是通过“安全退出”功能,则浏览器会自动清除cookies中的相关信息,安全退出来。若用户再回来的话,就需要重新输入用户名与密码才可以进行访问。
所以,对于邮箱、网上银行等页面,用户在访问完毕之后,不要怕麻烦,请务必利用“安全退出”功能正常地退出。以防给其他人有机可乘。特别是在公共场所访问的时候,特别要注意。
2 在多用户主机上,保存用户名与密码
在企业中。有可能多个用户使用一台主机。在这种情况下。若让浏览器自动记住“用户名与密码”,显然是很愚蠢的一个行为。因为这么做,任何用户在不经过你同意的情况下,都可以利用你的账户名与密码访问相关网站。
这主要是员工在家庭电脑上遗传过来的一个坏习惯。在家里,反正就自己家里人用用,让浏览器记住用户名与密码也没有什么问题,反而不用每次输入用户名与密码,觉得很方便。但是,在企业中,由于多个员工共用一台电脑,除非设置了不同的用户,否则的话。cookies文件中的信息就是共享的。就存在很大的安全隐患。
解决方法:
由于cookies文件是存放在用户文件夹下面的。所以,若确实要保存用户名与密码的话,则最好给每个用户设置不同的用户名。当他们需要使用电脑时,利用自己的用户名登录。这样操作,cookies文件就不会被不同的用户所共享。
若不小心让网页保存了“用户名或者密码”的话。也可以通过浏览器自带的工具清除。在lE浏览器上,选择“工具”、“Internet选项”。在打开的对话框内,选择“删除cook-les”。系统就会自动删除相关的cookies文件。不过在做这个操作的时候。需要注意,这个也是针对特殊的用户来说的。如Windows操作系统有两个用户A与B。当以A的账户登录进去的时候,只能够删除跟账户A相关的cookies文件,而不能够删除账户B建立的cookies文件。若要删除操作系统中全部用户的cookies文件,就必须一个个地进行删除。或者以管理员用户进去,找到存储路径后直接删除。
3操作系统重装后,导致cookies信息丢失
在实际工作中,还有一些粗心鬼。他们在一个网站上申请了一个lD后,就顺手设置了“自动保存用户名与密码”。他们以为这就万无一失了,所以没有用笔记录下用户名与密码。当操作系统崩溃,系统重装后,他们才发现用户名与密码找不回来了。笔者以前在从事网络管理工作的时候,就经常接到这种求助电话。可是,遇到这种情况,笔者也爱莫能助。
解决方法:
针对这种情况,一定要注意在平时的时候,最好将cookies文件备份。其实,cookies文件的备份方法有很多。笔者这里介绍最常见的两种方法。
一是通过IE浏览器自带的导入导出功能。打开IE浏览器,选择“文件”。会看到一个导入导出的功能。在这里,可以把这个用户名下的所有cookies文件导出到非系统盘。如此的话,当系统重新安装后,只需要把这个文件重新导入即可。不过,这个方法有个缺陷,需要定时地进行备份。不然的话,操作系统突然崩溃时,即使恢复了,可能部分cookies文件信息也会丢失。
二是更改cookies存储路径。我们可以更改cookies文件的存储路径。默认情况下。其保存在/Documents and SettingS/用户名/Cookies下。我们可以通过更改注册表,让其保存在非系统盘中。这么更改后,即使以后操作系统崩溃了,则只要把Cookies文件的存放位置重定向。则Cookies信息就不会丢失。另外,一些小工具也可以帮助我们实现这个目的,如优化大师等。
三、设置cookies下载警告,用户做到心中有数
我们可以通过cookies下载警告,来提高cookies的安全性。也就是说,当网站向客户端传送cookies文件的时候,网页会有一个警告信息,由用户来判断是否需要下载cookies这个文件。这么设置以后,客户端的IE就不会自作主张地去下载cookies文件。当IE从某个站点接受cookies文件时,都会-显示一个警告信息,客户可以选择接受还是不接受。
我们可以在工具Internet-选项中的“高级”标签对话框内,看到有一个关于cookies的选项。其有两个内容可以选择。分别是“总是接受cookies文件”与“接收cookies文件之前提示”两个选项。不同版本的浏览器可能称呼有所不同。默认情况下。系统采用的是前者。若我们需要系统提醒cookies信息的话,就需要选中后面这一项。
另外,虽然用户也可以通过其他方法,如防火墙等,强制关闭cookies文件下载。这虽然可以从根源来消除cookies文件的安全隐患,但是,笔者不怎么建议采用。这主要是因为有不少的网站,其必须要求有cookies支持。若客户端强制关闭cookies文件下载的话,则可能会导致某些网站无法访问或者某些功能无法正常使用。
虽然cookies的出现,确实给用户或者网站经营者提供了很大的方便。但是,隐藏在其背后的安全隐患,我们也不能够忽视。