挖掘Cookies背后的安全隱患

babypop

Google產(chǎn)品在最近暴露一個安全漏洞，這個漏洞可竊取Google的cookies，它存在于一款基于網(wǎng)頁的對照購物產(chǎn)品——Froogle。公司宣稱已經(jīng)把該漏洞標記為潛在安全漏洞，并對其進行修復。現(xiàn)時和未來的Froogle用戶都會受到保護。某愛爾蘭安全專家表示，惡意用戶可以利用該漏洞在Froogle的URL中植入一個Java。一旦這個鏈接被用戶點擊了，Java就可啟動瀏覽器重定向到一個惡意頁面上，進而偷取Google的cookies信息，而這些cookies文件往往包含有“GoogleAccounts”登錄服務的用戶名和密碼。另外，該漏洞還可以竊取Gmail郵件賬號。

Cookies是服務器存放在客戶端上的一個文本文件，主要用來存放用戶資料、賬戶以及密碼等相關信息。當我們訪問一個需要用戶名與密碼才能夠登錄的網(wǎng)頁，其往往會提示用戶：“是否需要保存用戶名與密碼”。這個信息就是保存在這個cookies文件中。

當用戶在瀏覽SOHU網(wǎng)站的時候，WEB服務器會發(fā)送一個小文件存放在客戶端上。這個cookies會對你訪問的網(wǎng)頁內容進行一些記錄，如郵件用戶名與密碼。如此的話，下次你再次訪問的時候，就不需要再輸入用戶名與密碼。而系統(tǒng)可以自動讀取cookies文件中的用戶名與密碼，實現(xiàn)自動登錄的功能。

一、設計意圖

現(xiàn)在cookies文件使用很普遍。許多網(wǎng)站，都提供了個性化的服務，都是通過cook-[es來實現(xiàn)的。程序員起初設計的時候，主要是出于兩個目的：

一是給用戶提供自動登錄的功能。如網(wǎng)站上一些論壇、博客、郵件等等，都需要通過用戶名與密碼才能夠訪問。有些用戶比較“懶”，他們喜歡讓瀏覽器記住用戶名與密碼，從而省去他們重復輸入用戶名與密碼的工作。

二是給客戶提供一些個性化的服務，并且可以用來收集一些用戶信息。通過cook-les文件，網(wǎng)站服務器就可以跟蹤統(tǒng)計用戶訪問某個網(wǎng)站的習慣。比如什么時間訪問、主要關注哪些內容、在每個頁面的停留時間等等。這些信息，對于用戶來說可能無關緊要。但是，對于網(wǎng)站經(jīng)營者來說，則具有非常現(xiàn)實的意義。如他們可以憑借這些信息，調整自己的網(wǎng)站內容，以提高流量。

所以，cookies的設計意圖是好的。但是，若用戶使用不當，則其也會帶來一定的安全隱患。

二、安全隱患

Cookies記錄的相關信息雖然在客戶端上是加密過的，一般用戶無法直接打開查詢里面的信息。但是，其仍然存在一些不可避免的安全隱患。

1 cookies的即時注銷問題

若我們現(xiàn)在在使用Yahoo網(wǎng)站的郵箱。一個用戶登錄進去后，沒有利用網(wǎng)站的安全退出功能退出。而是直接把網(wǎng)頁關閉或者直接輸入新浪的網(wǎng)址。此時，在一段時間內，若用戶再次回到Yahoo的郵箱，不用輸入用戶名與密碼，仍然可以訪問。

也就是說，瀏覽器會默認保存賬戶名與密碼一段時間。除非我們通過網(wǎng)站的“安全退出”功能，瀏覽器會即時刪除相關的cookies信息。若是直接關閉網(wǎng)站或者直接在原網(wǎng)頁中打開另一個網(wǎng)站，瀏覽器會保存cookies信息一段時間。

如果用戶在網(wǎng)站等公共場所上網(wǎng)，其沒有通過“安全退出”功能，則其郵箱、博客、論壇等等，很可能被后來的用戶所冒用，進行一些非法的操作，從而給用戶帶來一定的損失。故只要用戶沒有安全注銷，則在cookies會話沒有超時之前，再回來，仍然具有原先的操作權限。到目前為止，這是cookies本身的弊病，還沒有很好的方法可以實現(xiàn)自動注銷，即在網(wǎng)頁關閉的時候，自動清除cookies中的賬戶名與密碼信息。

解決方法：

不少網(wǎng)站也已經(jīng)注意到這方面的安全隱患。所以在一些網(wǎng)站的郵件、博客、論壇等頁面，都有一個“安全退出”的功能。若用戶在退出某個網(wǎng)頁的時候，不是直接關閉或者直接轉接到其他網(wǎng)站，而先是通過“安全退出”功能，則瀏覽器會自動清除cookies中的相關信息，安全退出來。若用戶再回來的話，就需要重新輸入用戶名與密碼才可以進行訪問。

所以，對于郵箱、網(wǎng)上銀行等頁面，用戶在訪問完畢之后，不要怕麻煩，請務必利用“安全退出”功能正常地退出。以防給其他人有機可乘。特別是在公共場所訪問的時候，特別要注意。

2在多用戶主機上，保存用戶名與密碼

在企業(yè)中。有可能多個用戶使用一臺主機。在這種情況下。若讓瀏覽器自動記住“用戶名與密碼”，顯然是很愚蠢的一個行為。因為這么做，任何用戶在不經(jīng)過你同意的情況下，都可以利用你的賬戶名與密碼訪問相關網(wǎng)站。

這主要是員工在家庭電腦上遺傳過來的一個壞習慣。在家里，反正就自己家里人用用，讓瀏覽器記住用戶名與密碼也沒有什么問題，反而不用每次輸入用戶名與密碼，覺得很方便。但是，在企業(yè)中，由于多個員工共用一臺電腦，除非設置了不同的用戶，否則的話。cookies文件中的信息就是共享的。就存在很大的安全隱患。

解決方法：

由于cookies文件是存放在用戶文件夾下面的。所以，若確實要保存用戶名與密碼的話，則最好給每個用戶設置不同的用戶名。當他們需要使用電腦時，利用自己的用戶名登錄。這樣操作，cookies文件就不會被不同的用戶所共享。

若不小心讓網(wǎng)頁保存了“用戶名或者密碼”的話。也可以通過瀏覽器自帶的工具清除。在lE瀏覽器上，選擇“工具”、“Internet選項”。在打開的對話框內，選擇“刪除cook-les”。系統(tǒng)就會自動刪除相關的cookies文件。不過在做這個操作的時候。需要注意，這個也是針對特殊的用戶來說的。如Windows操作系統(tǒng)有兩個用戶A與B。當以A的賬戶登錄進去的時候，只能夠刪除跟賬戶A相關的cookies文件，而不能夠刪除賬戶B建立的cookies文件。若要刪除操作系統(tǒng)中全部用戶的cookies文件，就必須一個個地進行刪除。或者以管理員用戶進去，找到存儲路徑后直接刪除。

3操作系統(tǒng)重裝后，導致cookies信息丟失

在實際工作中，還有一些粗心鬼。他們在一個網(wǎng)站上申請了一個lD后，就順手設置了“自動保存用戶名與密碼”。他們以為這就萬無一失了，所以沒有用筆記錄下用戶名與密碼。當操作系統(tǒng)崩潰，系統(tǒng)重裝后，他們才發(fā)現(xiàn)用戶名與密碼找不回來了。筆者以前在從事網(wǎng)絡管理工作的時候，就經(jīng)常接到這種求助電話。可是，遇到這種情況，筆者也愛莫能助。

解決方法：

針對這種情況，一定要注意在平時的時候，最好將cookies文件備份。其實，cookies文件的備份方法有很多。筆者這里介紹最常見的兩種方法。

一是通過IE瀏覽器自帶的導入導出功能。打開IE瀏覽器，選擇“文件”。會看到一個導入導出的功能。在這里，可以把這個用戶名下的所有cookies文件導出到非系統(tǒng)盤。如此的話，當系統(tǒng)重新安裝后，只需要把這個文件重新導入即可。不過，這個方法有個缺陷，需要定時地進行備份。不然的話，操作系統(tǒng)突然崩潰時，即使恢復了，可能部分cookies文件信息也會丟失。

二是更改cookies存儲路徑。我們可以更改cookies文件的存儲路徑。默認情況下。其保存在／Documents and SettingS／用戶名／Cookies下。我們可以通過更改注冊表，讓其保存在非系統(tǒng)盤中。這么更改后，即使以后操作系統(tǒng)崩潰了，則只要把Cookies文件的存放位置重定向。則Cookies信息就不會丟失。另外，一些小工具也可以幫助我們實現(xiàn)這個目的，如優(yōu)化大師等。

三、設置cookies下載警告，用戶做到心中有數(shù)

我們可以通過cookies下載警告，來提高cookies的安全性。也就是說，當網(wǎng)站向客戶端傳送cookies文件的時候，網(wǎng)頁會有一個警告信息，由用戶來判斷是否需要下載cookies這個文件。這么設置以后，客戶端的IE就不會自作主張地去下載cookies文件。當IE從某個站點接受cookies文件時，都會-顯示一個警告信息，客戶可以選擇接受還是不接受。

我們可以在工具Internet-選項中的“高級”標簽對話框內，看到有一個關于cookies的選項。其有兩個內容可以選擇。分別是“總是接受cookies文件”與“接收cookies文件之前提示”兩個選項。不同版本的瀏覽器可能稱呼有所不同。默認情況下。系統(tǒng)采用的是前者。若我們需要系統(tǒng)提醒cookies信息的話，就需要選中后面這一項。

另外，雖然用戶也可以通過其他方法，如防火墻等，強制關閉cookies文件下載。這雖然可以從根源來消除cookies文件的安全隱患，但是，筆者不怎么建議采用。這主要是因為有不少的網(wǎng)站，其必須要求有cookies支持。若客戶端強制關閉cookies文件下載的話，則可能會導致某些網(wǎng)站無法訪問或者某些功能無法正常使用。

雖然cookies的出現(xiàn)，確實給用戶或者網(wǎng)站經(jīng)營者提供了很大的方便。但是，隱藏在其背后的安全隱患，我們也不能夠忽視。