论坛: 电脑门诊 标题: 浏览器安全之网页上的小甜饼――cookie 复制本贴地址    
作者: lionet67 [lionet67]    论坛用户   登录
一、什么是cookie?

    打开你的Documents and Settings文件夹,进去以后,随便打开一个用户来看看,是不是有一个文件夹叫“Cookies”,里面装着一堆.txt文件?那么,这个Cookies到底是个什么东东呢?

    Cookie的英文原意是“甜饼”,但这里所讲的“Cookie”可不是糕点哦,它只是一个保存在客户机中的简单的文本文件,这个文件与特定的Web文档关联在一起,保存了该客户机访问这个Web文档时的信息,当客户机再次访问这个Web文档时这些信息可供该文档使用。由于“Cookie”具有可以保存在客户机上的神奇特性,因此它可以帮助我们实现记录用户个人信息的功能,而这一切都不必使用复杂的CGI等程序。是不是很有意思?

二、Cookie的功能

  1.定制个性化空间

  用户访问一个站点,可能由于费用、带宽限制等原因,并不希望浏览网页所有的内容。Cookie可根据个人喜好进行栏目设定,即时、动态地产生用户所要的内容,这就迎合了不同层次用户的访问兴趣,减少用户项目选择的次数,更合理利用网页服务器的传输带宽。

  2.记录站点轨迹

  由于Cookie可以保存在用户机上,并在用户再次访问该Server时读回这一特性可以帮助我们实现很多设计功能,如显示用户访问该网页的次数;显示用户上一次的访问时间;甚至是记录用户以前在本页中所做的选择等等,这可免去我们再去研究复杂的CGI编程。

  三、Cookie的组成

  类似Javascript变量,Cookie由变量名和值组成。其属性里既有标准的Cookie变量,也有用户自己创建的变量,属性中变量是用“变量=值”形式来保存。

  根据Netscape公司的规定,Cookie格式如下:

  Set-Cookie: NAME=VALUE;Expires=DATE;Path=PATH;Domain=DOMAIN_NAME;SECURE

  NAME=VALUE:

  这是每一个Cookie均必须有的部分。NAME是该Cookie的名称,VALUE是该Cookie的值。在字符串“NAME=VALUE”中,不含分号、逗号和空格等字符。

  Expires=DATE:Expires变量是一个只写变量,它确定了Cookie有效终止日期。该属性值DATE必须以特定的格式来书写:星期几,DD-MM-YY HH:MM:SS GMT,GMT表示这是格林尼治时间。反之,不以这样的格式来书写,系统将无法识别。该变量可省,如果缺省时,则Cookie的属性值不会保存在用户的硬盘中,而仅仅保存在内存当中,Cookie文件将随着浏览器的关闭而自动消失。

  Domain=DOMAIN-NAME:Domain该变量是一个只写变量,它确定了哪些Internet域中的Web服务器可读取浏览器所存取的Cookie,即只有来自这个域的页面才可以使用Cookie中的信息。这项设置是可选的,如果缺省时,设置Cookie的属性值为该Web服务器的域名。

  Path=PATH:Path属性定义了Web服务器上哪些路径下的页面可获取服务器设置的Cookie。一般如果用户输入的URL中的路径部分从第一个字符开始包含Path属性所定义的字符串,浏览器就认为通过检查。如果Path属性的值为“/”,则Web服务器上所有的WWW资源均可读取该Cookie。同样该项设置是可选的,如果缺省时,则Path的属性值为Web服务器传给浏览器的资源的路径名。

  可以看出我们借助对Domain和Path两个变量的设置,即可有效地控制Cookie文件被访问的范围。

  Secure:在Cookie中标记该变量,表明只有当浏览器和Web Server之间的通信协议为加密认证协议时,浏览器才向服务器提交相应的Cookie。当前这种协议只有一种,即为HTTPS。

  

四、cookie的安全性

  上面我们说到的全都是cookie对我们的好处,但是实际上好象偷偷的被人放了东西在自己的硬盘里(而且还有很多人是在并不知道的情况下)毕竟感觉不是很舒服,尤其是这个文件还可以被远程的服务器长期的监控,修改,记录一些你冲浪的习惯甚至你的相关密码.....这个这个,虽然有一定的便利可图,但是始终感觉不对味....当然,如果遇到一个很正规的大网站当然不用怕,但是要知道世界上还是有很多黑客网站的哦!所以呢――你自己看着办拉,我只是提供这些信息而已,呵呵。

    最后就是如果你觉得还是对cookie这种东东加以限制的好呢,下面有几种方法,你可以参考参考哦!
如果你用的浏览器是IE4:就右件点击Internet Exploer―>属性―>安全―>自定义级别―>选中“禁止所有Cookie使用”这个复选项就可以了;
如果你用的是IE5,哪就比较麻烦了,因为IE5还有本地、可信站点、受限站点等等级别之分,没办法,你就一个个的设吧。
上面的办法都比较麻烦,有没有什么简单点的办法呢?呵呵,其实你只要把刚刚咱们说的cookies文件夹设为“只读”不就完了吗?
不过最后还有些cookie不是放在你能看到的地方,而是放在注册表中的(一说到注册表我头就大了),哪就运行regedit,打开
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/ InternetSettings / Cache/Special Paths/Cookies
删除其中所有的文件,OK拉,最后再用查找功能一个个的把“Cookies”找出来,一一删除就行拉!


地主 发表时间: 04-07-30 16:54

论坛: 电脑门诊

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号