关于cookie的一些事儿

极验验证 2016-11-14 11:03 SAAS 来源:思达派 查看原文
上周和大家谈了数据防伪的一些小知识,里面有提到诸如UA,cookie等,今天极小验就和大家聊聊关于cookie的一些事儿。

cookie是什么?有什么用?
Cookie 就是一小段文本信息,在服务器和浏览器客户端之间传递。每次用户访问网站的时候,浏览器都会将该网站的Cookie发回给网站服务器,同时网站也可以更改你浏览器上对应的Cookie。HTTP是一种无状态的协议,在没有cookie的情况下,服务器收到一个请求就响应一次,由于不知道提供请求的是谁,所以也不会帮你保留你之前的浏览记录。

那么这样就会有些问题,比如逛淘宝,把商品放入购物车后,跳转到支付页面购物车里的东西不见啦。那要如何保证用户登录一个网站之后,一段时间内我在这个网站里面做的任何事情都能够有相应的记录呢?就是使用cookie啦。服务器可以设置或读取Cookies中包含信息,借此维护用户跟服务器会话中的状态。网站可以通过cookies统计用户信息,为用户实现个性化服务;利用cookie可以加快浏览网页的速度等。

kqxK6OtMNRf63yos9oGtKMABTkA6HZYML2S2UkZQ2Rrgo1479091037868transferflag.png

cookie的属性项
cookie什么样子呢?本着求是的精神,极小验还是找了一些比较官方的资料研读了一下,整理了一下cookie的大致画像。

bTWguHDxqbCnPWcSbSCWAwughNO9OzIF1LAJTBIwnjtbH1479091037868transferflag.png

那么cookie中会存入些我们的什么信息呢?
一般的网站当然都不会存一些很重要的信息啦,只是记录一下用户的登陆状态,可以这么理解,用户用登录名和密码给服务器,服务器给了用户一个身份证,在一段时间内可以在该网站有身份的的进行活动。还有就是网站针对用户的一些判定(比如你在这个网站上的唯一标识是什么,你访问的是我们的哪台服务器,你使用的是我们的哪个版本的产品)。
当然还可以记录你浏览过哪些网页啦,停留了多少时间,可能会有用户的一些属性存入到里面。不同的网站cookie存入的内容自然是有差别的。

cookie存在的安全隐患
Cookie使用很广泛,通常被用来辨别用户身份、进行session跟踪等,坏人总是无孔不入,cookie存在着一定的安全隐患。

通常的cookie攻击方式有三种:

直接访问Cookie文件查找想要的机密信息
有些比较奇葩的网站会将用户的登录名,密码等存入到cookie中,当然这样的网站还是比较少的,那么黑客可以通过直接访问cookie文件,获取一些关于用户的比较机密的信息。
 
 在客户端和服务端进行Cookie信息传递时候进行截取,进而冒充合法用户进行操作
黑客通常会伪装自己的身份,我们有一些安全机制是会通过cookie的信息去判断一个用户是否正常或者是否是真实的用户,而这同样也给了黑客伪装自己的机会。

cookie还可以被利用来进行广告作弊


作为网站,我们应该尽可能的少将信息放入到cookie中,特别是一些比较重要的信息,有一些做的比较好的网站也会对cookie进行加密以最大化的保障我们用户的安全隐私。同时在服务器端验证cookie的时候要进行严格的校验,对非法的cookie做一定的分析。

作为普通的用户也可以清理一些网站的cookie,比较在意自己的一些隐私信息可


为您推荐: