论文部分内容阅读
摘 要:本文针对Web交互操作信息安全问题,简要分析了Cookie特性、工作原理及应用现状。重点讨论了Cookie的安全性问题,提出了集中防范Cookie泄密的安全措施。
关键词:Cookie 信息安全 服务器
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2008)05-0050-03
Cookie技术最先被Netscape公司引入到Navigator浏览器中。随后World Wide Web协会支持并采纳了Cookie标准,微软也在Internet Explorer浏览器中使用了Cookie。现在,绝大多数浏览器都支持Cookie,几乎所有的网站设计者都使用了Cookie技术。[1] 有些网站和机构滥用Cookie,未经访问者的许可就搜集用户的个人资料,以谋求商业利益。为此,从信息安全视角,分析Cookie技术特性,探讨防范Cookie泄露用户隐私的措施,保障使用Cookie技术的安全性,显得尤为重要。
一、Cookie技术分析
1.Cookie定义及创建
Cookie 是由Internet站点创建的、将信息存储在计算机上的文件,Cookie 也可以存储用户可识别信息,然而网站只能访问用户提供的个人可识别信息。Cookie文件是由Web服务器创建存放在浏览器客户端的一个文本文件,其格式一般为:用户名@网站地址[数字] .txt。[2] Cookie按其存放位置和保留的信息分为:永久Cookie、临时Cookie、运动的Cookie和恶意Cookie。 Cookie文件信息片断以“名/值”对(name-value pairs)的形式储存,一个“名/值”对仅仅是一条命名的数据。这些文件在使用Windows操作系统的机器里叫做Cookie文件。Cookies文件的存放位置为:Win9x和Win2K操作系统:C:\Windows\Cookies;Win XP操作系统:C:\Documents and Settings\用户名称(账号)\Cookies。Cookie的主要功能是记录用户个人信息,支持Web站点保存有关访问者的信息。也就是说Cookie是一种记录Web应用程序交互式操作信息的方法,如记住用户名、用户输入数据等。
2.Cookie设置与工作原理
Cookie使用HTTP Header传递数据。Cookie定义了两种传递状态信息的报头:Set-Cookie和Cookie。Set-Cookie报头由HTTP服务器生成,包含于Web服务器的响应头(Response Header)中,其报头格式:Set-Cookie:Name=Value[;expire=Date][;path=PATH][;domain=DOMAIN- NAME][;secure],其中Name域存放所有重要内容。可选项expire存放Cookie的过期时间,domain用于指定使Cookie有效的更广泛的域名。Path说明该Cookie申请的URL下的具体路径。Secure指定了Cookie是否能在安全通信通道里传输。通常一个HTTP响应中可以发送多个Set-Cookie信息头。Cookie报头包含在浏览器客户端请求头(Request Header)中。Cookie的工作原理如图1所示。[3]
用户在浏览器的地址栏中键入URL,客户端根据请求的主机、URL和Cookie期限生成Cookie请求报头并发送到服务器端。服务器接收到Cookie请求报头后进行解释,并根据这些解释信息产生页面。服务器产生页面后,根据应用程序的需求与用户请求信息产生一个Set-Cookie报头,设定各个项目的内容后,在应答报文中加入Set-Cookie报头,然后将响应返回给客户端。客户端收到应答后,取出Set-Cookie报头,解释其相关信息,并将报头的信息保存在Cookie文件中。如果已经存在一个旧的Cookie文件,则将其覆盖。当客户端再次向服务器发出请求时,浏览器先在电脑里寻找对应该网站的Cookie.txt文件。如果找到则根据此Cookie.txt产生Cookie报头,放在 HTTP请求报文中发给服务器。服务器接收到包含Cookie报头的请求,检索其Cookie中与用户有关的信息,生成一个客户端所请示的页面应答传递给客户端。浏览器的每一次网页请求,都可以传递已存在的Cookie文件,例如浏览器的打开或刷新网页操作。
二、Cookie应用
1.实现Web中的用户认证
多数网站都涉及用户账号以及用户的权限问题。而HTTP协议是一种无连接不连续的协议,也就是说客户端与服务器的对话信息无法保留下来。如果用户下次登录就必须重新输入用户名与密码等相关信息,这显得非常繁琐而且没有必要,尤其是对于经常访问该网站的用户,而Cookie弥补了这个缺陷。[4]
2.定制个性化空间
Cookie技术可以保留一些客户端的信息,Web站点通过读取Cookie中保留的信息给用户提供个性化、更友好的浏览环境,并能更加准确地获得访问者的信息。例如,在Cookie中存放用户对网页内容、布局、颜色的需求和用户自己输入的信息,从而定制网页的外观。另外,基于费用和带宽限制等原因,可以利用Cookie技术保存个人设定栏目,动态地生成用户所需要的内容,这样迎合了不同层次用户的访问兴趣,减少用户项目选择的次数,更加合理地利用Web服务器的带宽。[5]
3.网站访问统计
由于代理服务器、缓存等的使用,使得能帮助网站精确统计来访人数的方法只能是为每个访问者建立一个唯一的ID。通过使用Cookie,网站可以测定多少人访问过;测定访问者中有多少是新用户,多少是老用户;测定一个用户多久访问一次网站。
4.维护在线电子商务客户信息
在线电子商务网站中可以利用Cookie技术记载用户想购买的物品。用户往“购物车”里投放商品,网站便在Cookie中记录用户所选购的商品。这样即使用户中途掉线,当用户再次登录的时候也能不丢失信息。当用户选择“买单”时,网站便将用户Cookie中的选购的商品读取出来存放到数据库中,使网上购物更接近现实生活。
5.记录站点轨迹
Cookie具有被读写的特性,能够存放客户端信息例如用户名、密码访问时间等。通过添加用户访问网页的信息可以方便地实现统计用户访问该网页的次数,用户的个人信息和用户上一次的访问时间等。
三、Cookie的安全性问题
Cookie能够为用户带来方便,一般情况下不会造成严重的安全威胁,因为Cookie文件本身不是可执行文件,不能运行,它只能由创建它的服务器去读取。然而由于Cookie中可能存放用户的敏感信息,而某些对于用户信息要求十分严格的网站,其安全性占主导地位。Cookie安全性问题有以下几种:
1.Cookie欺骗与Cookie截获
Cookie记录了用户账户、密码信息,通常使用MD5方法加密后在网上传递。经过加密处理后的信息虽然看不懂却可以被截获Cookie的人利用。例如他可以把别人的Cookie向服务器提交,从而通过验证,冒充受害人的身份登录网站从而达到个人的非法目的,这种行为叫做Cookie欺骗。[5][6] 例如,对于在线阅读,非法用户可以不支付费用即可享受在线阅读电子杂志。
2.个人信息泄露
当多人使用同一台计算机的时候,用户访问某些网站就会在计算机上遗留访问网站的Cookie。当有恶意用户使用该计算机的时候,他可以通过访问相同的网站使用受害者的账号,从而达到其不可告人的目的。
3.Cookie泄漏网络隐私
电子商务的兴起和互联网上巨大商机的出现导致了一些网站和机构滥用Cookie收集个人信息。然后再利用搜索引擎技术、数据挖掘技术构建用户数据库,分析用户的访问模式,从而发送广告以达到营利的目的,甚至有些网站收集用户信息再转手出售给大型商业公司以获取暴利,而用户完全不知情。Cookie技术的特性就导致了它容易泄露用户信息。[7]
4.使用恶意Cookie
由于Cookie是文本文件,它也可以存放其他的信息,如果网站使用Cookie中的信息创建动态网页,那么在Cookie中存放的HTML代码段,在生成动态网页的时候就可能引入可执行代码,给用户造成严重的安全隐患。
5.Cookie篡改
如果用户修改了Set-Cookie报头,例如其expire项,将有效期延长,或者修改了其中的path值,使用户能访问服务器上的不被授权的内容;或修改其中的domain项,使用户能够访问不被授权的服务器从而获得合法的用户的信息等。
6.Cookie攻击
非法用户可以伪造任何合法的Cookie,从而访问合法用户的所有个性化信息,包括用户的E-mail甚至账户等信息。[8][9]
四、防范Cookie泄密的安全措施
本文通过对Cookie安全问题的研究,提出以下防范措施:
1.加强安全防范意识
Cookie就其特性而言是一种不安全的技术,使用Cookie必须意识到其固有的安全弱点。保存在Cookie中的内容,完全有可能是用户的私人数据。如果有人盗取了这样的Cookie文件,他就可以冒充合法用户登录网站,这将对用户的个人信息安全构成不可预测的威胁。
对于网站开发人员而言,在开发网站的时候应该注意只在Cookie中保存一些不重要的数据,如对应用程序没有重大影响的信息。如果确实需要在Cookie中保存某些敏感信息,就要对其加密,以防被他人盗用。还可以对Cookie的属性进行设置,使其只能在使用安全套接层协议(SSL)的连接上传输。SSL并不能防止保存在用户计算机上的Cookie被他人读取或操作,但能防止Cookie在传输途中被他人截获。
2.配置安全的浏览器
在浏览器中一般都有禁止Cookie的设置选项,可以设置当某个站点要在用户的计算机上创建Cookie时,是否给出提示。这样用户就可以选择允许或拒绝创建Cookie。需要注意的是,某些网站必须使用Cookie,简单地禁止可能导致无法正常浏览此类网站。
IE6提供了多种隐私保护的功能,包括:查看网站的P3P隐私策略,以了解该网站如何使用个人可识别信息;通过Cookie隐私设置决定是否允许将网站的Cookie保存在计算机上;在访问不符合隐私设置条件的站点时发出隐私警报。用户可以有选择性地设置Cookie。
除此以外,当用户访问完网站之后可以通过浏览器的Internet选项,删除过时的Cookie,从而防止出现个人信息安全问题。
3.安装Cookie管理工具
(1)Cookie Crusher。Limit Software公司的Cookie Crusher功能有:管理计算机上已有的Cookie、设置禁止或允许创建Cookie的网站列表、在创建新Cookie与修改已经存在的Cookie时发出警告、禁止第三方网站Cookie、实时控制接受或拒绝来自站点的Cookie、记录Cookie活动日志、编辑Cookie等,并且在网上浏览时,程序独创的分析功能可以自动确定网站要求创建的Cookie的目的,如:判断网站是把Cookie用于存储用户输入的资料还是准备利用Cookie跟踪用户的浏览习惯等,从而能够自动拒绝Cookies自动地写入你的机器。
(2)安装Cookie Pal。除了浏览器能使用Cookie,其它的互联网软件也能使用,如邮件程序等。为了可以维护网络隐私的安全,同时又保证一些互联网软件正确地使用Cookie文件,可以安装Kookaburra Software公司的支持多种软件的Cookie管理工具 Cookie Pal。它专门用于Cookie管理,支持用户查看、删除、编辑已经存在的Cookie,自动地实时控制是否接受Cookie,根据过期时间过滤Cookie,它还能够记录Cookie的活动,编辑拒绝或允许Cookie的网站列表。
4.删除内存中的Cookies
Cookie的信息并不都是以文件形式存放在硬盘中,还有部分信息保存在内存里。这类 Cookie通常是用户在浏览某些网站时,由Web服务器自动在内存中生成的。一旦会话结束,系统又自动将Cookie从内存中删除。对此,需要借助注册表编辑器来修改系统设置,使关闭IE浏览器时自动把Cookie文件删除。运行Regedit,找到如下键值:HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Cache \ Special Paths \ Cookies,这是Cookies在内存中的键值。右键单击“Cookies”,再单击快捷菜单中的“删除”命令确认删除。
五、结束语
从Cookie技术特性的本质上来讲它是一种不安全的技术,所以其存在潜在的安全威胁。但是我们通过采用加强防范意识,配置安全的浏览器,使用Cookie管理工具等措施能有效地防止Cookie泄露用户隐私,保障信息安全。
参考文献:
[1]胡忠望,刘卫东.Cookie应用与个人信息安全研究[J].计算机应用与软件,2007(3):50-53.
[2]钟子云.Cookie机制分析及其安全问题对策[J].桂林航天工业高等专科学校学报,2001(1).
[3]洪洲,艾菊梅.Cookie技术在PHP中的应用[J].计算机与现代化,2004(1):101-105.
[4]孟晓明.防范Cookie泄密的一些对策[J].Computer Era,2005(4):8-10.
[5]吴建武.基于公钥证书的cookies安全实现方案[J].微计算机信息,2006(21).
[6]汤明伟.浅谈Cookie技术[J].常州信息职业技术学院学报,2005(3):46-48.
[7]胡宁.浅析Cookies的缺陷及防范[J].辽宁行政学院学报,2006(4):126-127.
[8]马亚娜,钱焕延,孙亚民.用Cookie构建Web安全的实现[J].计算机工程,2002(11):34-35,75.
[9]李景峰,祝跃飞,张栋.用户控制下Cookies安全研究与实现[J].计算机工程,2005(14):150-152.
关键词:Cookie 信息安全 服务器
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2008)05-0050-03
Cookie技术最先被Netscape公司引入到Navigator浏览器中。随后World Wide Web协会支持并采纳了Cookie标准,微软也在Internet Explorer浏览器中使用了Cookie。现在,绝大多数浏览器都支持Cookie,几乎所有的网站设计者都使用了Cookie技术。[1] 有些网站和机构滥用Cookie,未经访问者的许可就搜集用户的个人资料,以谋求商业利益。为此,从信息安全视角,分析Cookie技术特性,探讨防范Cookie泄露用户隐私的措施,保障使用Cookie技术的安全性,显得尤为重要。
一、Cookie技术分析
1.Cookie定义及创建
Cookie 是由Internet站点创建的、将信息存储在计算机上的文件,Cookie 也可以存储用户可识别信息,然而网站只能访问用户提供的个人可识别信息。Cookie文件是由Web服务器创建存放在浏览器客户端的一个文本文件,其格式一般为:用户名@网站地址[数字] .txt。[2] Cookie按其存放位置和保留的信息分为:永久Cookie、临时Cookie、运动的Cookie和恶意Cookie。 Cookie文件信息片断以“名/值”对(name-value pairs)的形式储存,一个“名/值”对仅仅是一条命名的数据。这些文件在使用Windows操作系统的机器里叫做Cookie文件。Cookies文件的存放位置为:Win9x和Win2K操作系统:C:\Windows\Cookies;Win XP操作系统:C:\Documents and Settings\用户名称(账号)\Cookies。Cookie的主要功能是记录用户个人信息,支持Web站点保存有关访问者的信息。也就是说Cookie是一种记录Web应用程序交互式操作信息的方法,如记住用户名、用户输入数据等。
2.Cookie设置与工作原理
Cookie使用HTTP Header传递数据。Cookie定义了两种传递状态信息的报头:Set-Cookie和Cookie。Set-Cookie报头由HTTP服务器生成,包含于Web服务器的响应头(Response Header)中,其报头格式:Set-Cookie:Name=Value[;expire=Date][;path=PATH][;domain=DOMAIN- NAME][;secure],其中Name域存放所有重要内容。可选项expire存放Cookie的过期时间,domain用于指定使Cookie有效的更广泛的域名。Path说明该Cookie申请的URL下的具体路径。Secure指定了Cookie是否能在安全通信通道里传输。通常一个HTTP响应中可以发送多个Set-Cookie信息头。Cookie报头包含在浏览器客户端请求头(Request Header)中。Cookie的工作原理如图1所示。[3]
用户在浏览器的地址栏中键入URL,客户端根据请求的主机、URL和Cookie期限生成Cookie请求报头并发送到服务器端。服务器接收到Cookie请求报头后进行解释,并根据这些解释信息产生页面。服务器产生页面后,根据应用程序的需求与用户请求信息产生一个Set-Cookie报头,设定各个项目的内容后,在应答报文中加入Set-Cookie报头,然后将响应返回给客户端。客户端收到应答后,取出Set-Cookie报头,解释其相关信息,并将报头的信息保存在Cookie文件中。如果已经存在一个旧的Cookie文件,则将其覆盖。当客户端再次向服务器发出请求时,浏览器先在电脑里寻找对应该网站的Cookie.txt文件。如果找到则根据此Cookie.txt产生Cookie报头,放在 HTTP请求报文中发给服务器。服务器接收到包含Cookie报头的请求,检索其Cookie中与用户有关的信息,生成一个客户端所请示的页面应答传递给客户端。浏览器的每一次网页请求,都可以传递已存在的Cookie文件,例如浏览器的打开或刷新网页操作。
二、Cookie应用
1.实现Web中的用户认证
多数网站都涉及用户账号以及用户的权限问题。而HTTP协议是一种无连接不连续的协议,也就是说客户端与服务器的对话信息无法保留下来。如果用户下次登录就必须重新输入用户名与密码等相关信息,这显得非常繁琐而且没有必要,尤其是对于经常访问该网站的用户,而Cookie弥补了这个缺陷。[4]
2.定制个性化空间
Cookie技术可以保留一些客户端的信息,Web站点通过读取Cookie中保留的信息给用户提供个性化、更友好的浏览环境,并能更加准确地获得访问者的信息。例如,在Cookie中存放用户对网页内容、布局、颜色的需求和用户自己输入的信息,从而定制网页的外观。另外,基于费用和带宽限制等原因,可以利用Cookie技术保存个人设定栏目,动态地生成用户所需要的内容,这样迎合了不同层次用户的访问兴趣,减少用户项目选择的次数,更加合理地利用Web服务器的带宽。[5]
3.网站访问统计
由于代理服务器、缓存等的使用,使得能帮助网站精确统计来访人数的方法只能是为每个访问者建立一个唯一的ID。通过使用Cookie,网站可以测定多少人访问过;测定访问者中有多少是新用户,多少是老用户;测定一个用户多久访问一次网站。
4.维护在线电子商务客户信息
在线电子商务网站中可以利用Cookie技术记载用户想购买的物品。用户往“购物车”里投放商品,网站便在Cookie中记录用户所选购的商品。这样即使用户中途掉线,当用户再次登录的时候也能不丢失信息。当用户选择“买单”时,网站便将用户Cookie中的选购的商品读取出来存放到数据库中,使网上购物更接近现实生活。
5.记录站点轨迹
Cookie具有被读写的特性,能够存放客户端信息例如用户名、密码访问时间等。通过添加用户访问网页的信息可以方便地实现统计用户访问该网页的次数,用户的个人信息和用户上一次的访问时间等。
三、Cookie的安全性问题
Cookie能够为用户带来方便,一般情况下不会造成严重的安全威胁,因为Cookie文件本身不是可执行文件,不能运行,它只能由创建它的服务器去读取。然而由于Cookie中可能存放用户的敏感信息,而某些对于用户信息要求十分严格的网站,其安全性占主导地位。Cookie安全性问题有以下几种:
1.Cookie欺骗与Cookie截获
Cookie记录了用户账户、密码信息,通常使用MD5方法加密后在网上传递。经过加密处理后的信息虽然看不懂却可以被截获Cookie的人利用。例如他可以把别人的Cookie向服务器提交,从而通过验证,冒充受害人的身份登录网站从而达到个人的非法目的,这种行为叫做Cookie欺骗。[5][6] 例如,对于在线阅读,非法用户可以不支付费用即可享受在线阅读电子杂志。
2.个人信息泄露
当多人使用同一台计算机的时候,用户访问某些网站就会在计算机上遗留访问网站的Cookie。当有恶意用户使用该计算机的时候,他可以通过访问相同的网站使用受害者的账号,从而达到其不可告人的目的。
3.Cookie泄漏网络隐私
电子商务的兴起和互联网上巨大商机的出现导致了一些网站和机构滥用Cookie收集个人信息。然后再利用搜索引擎技术、数据挖掘技术构建用户数据库,分析用户的访问模式,从而发送广告以达到营利的目的,甚至有些网站收集用户信息再转手出售给大型商业公司以获取暴利,而用户完全不知情。Cookie技术的特性就导致了它容易泄露用户信息。[7]
4.使用恶意Cookie
由于Cookie是文本文件,它也可以存放其他的信息,如果网站使用Cookie中的信息创建动态网页,那么在Cookie中存放的HTML代码段,在生成动态网页的时候就可能引入可执行代码,给用户造成严重的安全隐患。
5.Cookie篡改
如果用户修改了Set-Cookie报头,例如其expire项,将有效期延长,或者修改了其中的path值,使用户能访问服务器上的不被授权的内容;或修改其中的domain项,使用户能够访问不被授权的服务器从而获得合法的用户的信息等。
6.Cookie攻击
非法用户可以伪造任何合法的Cookie,从而访问合法用户的所有个性化信息,包括用户的E-mail甚至账户等信息。[8][9]
四、防范Cookie泄密的安全措施
本文通过对Cookie安全问题的研究,提出以下防范措施:
1.加强安全防范意识
Cookie就其特性而言是一种不安全的技术,使用Cookie必须意识到其固有的安全弱点。保存在Cookie中的内容,完全有可能是用户的私人数据。如果有人盗取了这样的Cookie文件,他就可以冒充合法用户登录网站,这将对用户的个人信息安全构成不可预测的威胁。
对于网站开发人员而言,在开发网站的时候应该注意只在Cookie中保存一些不重要的数据,如对应用程序没有重大影响的信息。如果确实需要在Cookie中保存某些敏感信息,就要对其加密,以防被他人盗用。还可以对Cookie的属性进行设置,使其只能在使用安全套接层协议(SSL)的连接上传输。SSL并不能防止保存在用户计算机上的Cookie被他人读取或操作,但能防止Cookie在传输途中被他人截获。
2.配置安全的浏览器
在浏览器中一般都有禁止Cookie的设置选项,可以设置当某个站点要在用户的计算机上创建Cookie时,是否给出提示。这样用户就可以选择允许或拒绝创建Cookie。需要注意的是,某些网站必须使用Cookie,简单地禁止可能导致无法正常浏览此类网站。
IE6提供了多种隐私保护的功能,包括:查看网站的P3P隐私策略,以了解该网站如何使用个人可识别信息;通过Cookie隐私设置决定是否允许将网站的Cookie保存在计算机上;在访问不符合隐私设置条件的站点时发出隐私警报。用户可以有选择性地设置Cookie。
除此以外,当用户访问完网站之后可以通过浏览器的Internet选项,删除过时的Cookie,从而防止出现个人信息安全问题。
3.安装Cookie管理工具
(1)Cookie Crusher。Limit Software公司的Cookie Crusher功能有:管理计算机上已有的Cookie、设置禁止或允许创建Cookie的网站列表、在创建新Cookie与修改已经存在的Cookie时发出警告、禁止第三方网站Cookie、实时控制接受或拒绝来自站点的Cookie、记录Cookie活动日志、编辑Cookie等,并且在网上浏览时,程序独创的分析功能可以自动确定网站要求创建的Cookie的目的,如:判断网站是把Cookie用于存储用户输入的资料还是准备利用Cookie跟踪用户的浏览习惯等,从而能够自动拒绝Cookies自动地写入你的机器。
(2)安装Cookie Pal。除了浏览器能使用Cookie,其它的互联网软件也能使用,如邮件程序等。为了可以维护网络隐私的安全,同时又保证一些互联网软件正确地使用Cookie文件,可以安装Kookaburra Software公司的支持多种软件的Cookie管理工具 Cookie Pal。它专门用于Cookie管理,支持用户查看、删除、编辑已经存在的Cookie,自动地实时控制是否接受Cookie,根据过期时间过滤Cookie,它还能够记录Cookie的活动,编辑拒绝或允许Cookie的网站列表。
4.删除内存中的Cookies
Cookie的信息并不都是以文件形式存放在硬盘中,还有部分信息保存在内存里。这类 Cookie通常是用户在浏览某些网站时,由Web服务器自动在内存中生成的。一旦会话结束,系统又自动将Cookie从内存中删除。对此,需要借助注册表编辑器来修改系统设置,使关闭IE浏览器时自动把Cookie文件删除。运行Regedit,找到如下键值:HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Cache \ Special Paths \ Cookies,这是Cookies在内存中的键值。右键单击“Cookies”,再单击快捷菜单中的“删除”命令确认删除。
五、结束语
从Cookie技术特性的本质上来讲它是一种不安全的技术,所以其存在潜在的安全威胁。但是我们通过采用加强防范意识,配置安全的浏览器,使用Cookie管理工具等措施能有效地防止Cookie泄露用户隐私,保障信息安全。
参考文献:
[1]胡忠望,刘卫东.Cookie应用与个人信息安全研究[J].计算机应用与软件,2007(3):50-53.
[2]钟子云.Cookie机制分析及其安全问题对策[J].桂林航天工业高等专科学校学报,2001(1).
[3]洪洲,艾菊梅.Cookie技术在PHP中的应用[J].计算机与现代化,2004(1):101-105.
[4]孟晓明.防范Cookie泄密的一些对策[J].Computer Era,2005(4):8-10.
[5]吴建武.基于公钥证书的cookies安全实现方案[J].微计算机信息,2006(21).
[6]汤明伟.浅谈Cookie技术[J].常州信息职业技术学院学报,2005(3):46-48.
[7]胡宁.浅析Cookies的缺陷及防范[J].辽宁行政学院学报,2006(4):126-127.
[8]马亚娜,钱焕延,孙亚民.用Cookie构建Web安全的实现[J].计算机工程,2002(11):34-35,75.
[9]李景峰,祝跃飞,张栋.用户控制下Cookies安全研究与实现[J].计算机工程,2005(14):150-152.