国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

                  挖掘Cookies背后安全隱患

      Google產(chǎn)品在最近暴露一個(gè)安全漏洞，這個(gè)漏洞可竊取Google的cookie，它存在于一款基于網(wǎng)頁(yè)的對(duì)照購(gòu)物產(chǎn)品——Froogle。公司宣稱 已經(jīng)把該漏洞標(biāo)記為潛在安全漏洞，并對(duì)其進(jìn)行修復(fù)?，F(xiàn)時(shí)和未來(lái)的Froogle用戶都會(huì)受到保護(hù)。某愛(ài)爾蘭安全專家表示，惡意用戶可以利用該漏洞在 Froogle的URL中植入一個(gè)JavaScript。一旦這個(gè)鏈接被用戶點(diǎn)擊了，JavaScript就可啟動(dòng)瀏覽器重定向到一個(gè)惡意頁(yè)面上，進(jìn)而偷 取Google的cookie信息，而這些cookie文件往往包含有“Google Accounts”登錄服務(wù)的用戶名和密碼。另外，該漏洞還可以竊取Gmail郵件賬號(hào)。
　　Cookies是服務(wù)器存放在客戶端上的一個(gè)文本文件，主要用來(lái)存放用戶資料、帳戶以及密碼等相關(guān)信息。當(dāng)我們?cè)L問(wèn)一個(gè)需要用戶名與密碼才能夠登陸的網(wǎng)頁(yè)，其往往會(huì)提示用戶，“是否需要保存用戶名與密碼”。這個(gè)信息就是保存在這個(gè)cookies文件中。
如當(dāng)用戶在瀏覽SOHU網(wǎng)站的時(shí)候，WEB服務(wù)器會(huì)發(fā)送一個(gè)小文件存放在客戶端上。這個(gè)cookies會(huì)對(duì)你訪問(wèn)的網(wǎng)頁(yè)內(nèi)容進(jìn)行一些記錄，如郵件用戶名 與密碼。如此的話，下次你再次訪問(wèn)的時(shí)候，就不需要再輸入用戶名與密碼，而系統(tǒng)可以自動(dòng)讀取cookies文件中的用戶名與密碼，實(shí)現(xiàn)自動(dòng)登錄的功能。
　　一、設(shè)計(jì)意圖。
　　現(xiàn)在cookies文件使用很普遍。許多網(wǎng)站，都提供了個(gè)性化的服務(wù)，都是通過(guò)cookies來(lái)實(shí)現(xiàn)的。程序員起初設(shè)計(jì)的時(shí)候，主要是出于兩個(gè)目的：
　　一是給用戶提供自動(dòng)登錄的功能。如網(wǎng)站上一些論壇、博客、郵件等等，都需要通過(guò)用戶名與密碼才能夠訪問(wèn)。有些用戶比較“懶”，他們喜歡讓瀏覽器記住用戶名與密碼，從而省去他們重復(fù)輸入用戶名與密碼的工作。
二是給客戶提供一些個(gè)性化的服務(wù)，并且可以用來(lái)收集一些用戶信息。通過(guò)cookies文件，網(wǎng)站服務(wù)器就可以跟蹤統(tǒng)計(jì)用戶訪問(wèn)某個(gè)網(wǎng)站的習(xí)慣。比如什么 時(shí)間訪問(wèn)、主要關(guān)注哪些內(nèi)容、在每個(gè)頁(yè)面的停留時(shí)間等等。這些信息，對(duì)于用戶來(lái)說(shuō)可能無(wú)關(guān)緊要。但是，對(duì)于網(wǎng)站經(jīng)營(yíng)者來(lái)說(shuō)，則具有非常現(xiàn)實(shí)的意義已。如他 們可以憑借這些信息，調(diào)整自己的網(wǎng)站內(nèi)容，以提高流量。
　　所以，cookies的設(shè)計(jì)意圖是好的。但是，若用戶使用不當(dāng)，則其也會(huì)帶來(lái)一定的安全隱患。
　　二、安全隱患。
　　Cookies記錄的相關(guān)信息雖然在客戶端上是加密過(guò)的，一般用戶無(wú)法直接打開查詢里面的信息。但是，其仍然存在一些不可避免的安全隱患。
　　1、cookies的即時(shí)注銷問(wèn)題。
　　若我們現(xiàn)在在使用Yahoo網(wǎng)站的郵箱。一個(gè)用戶登錄進(jìn)去后，沒(méi)有利用網(wǎng)站的安全退出功能退出。而是直接把網(wǎng)頁(yè)關(guān)閉或者直接輸入新浪的網(wǎng)址。此時(shí)，在一段時(shí)間內(nèi)，若用戶再次回到Y(jié)ahoo的郵箱，不用輸入用戶名與密碼，仍然可以訪問(wèn)。
　　也就是說(shuō)，瀏覽器會(huì)默認(rèn)保存帳戶名與密碼一段時(shí)間。除非我們通過(guò)網(wǎng)站的“安全退出”功能，瀏覽器會(huì)即時(shí)刪除相關(guān)的cookies信息。若是直接關(guān)閉網(wǎng)站或者直接在原網(wǎng)頁(yè)中打開另一個(gè)網(wǎng)站，瀏覽器會(huì)保存cookies信息一段時(shí)間。
如果用戶在網(wǎng)站等公共場(chǎng)所上網(wǎng)，其沒(méi)有通過(guò)安全退出功能，則其郵箱、博客、論壇等等，很可能被后來(lái)的用戶所冒用，進(jìn)行一些非法的操作，從而給用戶帶來(lái)一 定的損失。故只要用戶沒(méi)有安全注銷，則在cookies會(huì)話沒(méi)有超時(shí)之前，再回來(lái)，仍然具有原先的操作權(quán)限。到目前為止，這是cookies本身的弊病， 還沒(méi)有很好的方法可以實(shí)現(xiàn)自動(dòng)注銷，即在網(wǎng)頁(yè)關(guān)閉的時(shí)候，自動(dòng)清除cookies中的帳戶名與密碼信息。
　　解決方法：
　　不少網(wǎng)站也已 經(jīng)注意到這方面的安全隱患。所以在一些網(wǎng)站的郵件、博客、論壇等頁(yè)面，都有一個(gè)“安全退出”的功能。若用戶在退出某個(gè)網(wǎng)頁(yè)的時(shí)候，不是直接關(guān)閉或者直接轉(zhuǎn) 接到其它網(wǎng)站，而先是通過(guò)“安全退出”功能，則瀏覽器會(huì)自動(dòng)清除cookies中的相關(guān)信息。安全退出來(lái)，若用戶再回來(lái)的話，就需要重新輸入用戶名與密碼 才可以進(jìn)行訪問(wèn)。
　　所以，對(duì)于郵箱、網(wǎng)上銀行等頁(yè)面，用戶再訪問(wèn)完畢之后，不要怕麻煩，請(qǐng)務(wù)必利用“安全退出”功能正常的退出。以防給其它人有機(jī)可乘。特別是在公共場(chǎng)所訪問(wèn)的時(shí)候，特別要注意。
　　2、在多用戶主機(jī)上，保存用戶名與密碼。
　　在企業(yè)中，有可能多個(gè)用戶使用一臺(tái)主機(jī)。在這種情況下，若讓瀏覽器自動(dòng)記住“用戶名與密碼”，顯然是很愚蠢的一個(gè)行為。因?yàn)檫@么做，任何用戶在不經(jīng)過(guò)你同意的情況下，都可以利用你的帳戶名與密碼訪問(wèn)相關(guān)網(wǎng)站。
這主要是員工在家庭電腦上遺傳過(guò)來(lái)的一個(gè)壞習(xí)慣。在家里，反正就自己家里人用用，讓瀏覽器記住用戶名與密碼也沒(méi)有什么問(wèn)題，反而不用每次輸入用戶名與密 碼，覺(jué)得很方便。但是，在企業(yè)中，由于多個(gè)員工共用一臺(tái)電腦，除非設(shè)置了不同的用戶，否則的話，cookie文件中的信息就是共享的。就存在很大的安全隱 患。
　　解決方法：
　　由于cookie文件是存放在用戶文件夾下面的。所以，若確實(shí)要保存用戶名與密碼的話，則最好給每個(gè)用戶設(shè)置不同的用戶名。當(dāng)他們需要使用電腦時(shí)，利用自己的用戶名登錄。這樣操作，cookie文件就不會(huì)被不同的用戶所共享。
若不小心讓網(wǎng)頁(yè)保存了“用戶名或者密碼”的話，也可以通過(guò)瀏覽器自帶的工具清除。在IE瀏覽器上，選擇“工具”、“Internet選項(xiàng)”。在打開的對(duì) 話框內(nèi)，選擇“刪除cookies”。系統(tǒng)就會(huì)自動(dòng)刪除相關(guān)的cookie文件。不過(guò)在做這個(gè)操作的時(shí)候，需要注意，這個(gè)也是針對(duì)特殊的用戶來(lái)說(shuō)的。如 Windows操作系統(tǒng)有連個(gè)用戶A與B。當(dāng)以A的帳戶登錄進(jìn)去的時(shí)候，只能夠刪除跟帳戶A相關(guān)的cookie文件，而不能夠刪除帳戶B建立的 cookie文件。若要?jiǎng)h除操作系統(tǒng)中全部用戶的cookie文件，就必須一個(gè)個(gè)的進(jìn)行刪除。或者以管理員用戶進(jìn)去，找到存儲(chǔ)路徑后直接刪除。
　　3、操作系統(tǒng)重裝后，導(dǎo)致cookies信息丟失。
在實(shí)際工作中，還有一些粗心鬼。他們?cè)谝粋€(gè)網(wǎng)站上申請(qǐng)了一個(gè)ID后，就順手設(shè)置了“自動(dòng)保存用戶名與密碼”。他們以為這就萬(wàn)無(wú)一失了，所以沒(méi)有用筆記錄 下用戶名與密碼。當(dāng)操作系統(tǒng)崩潰，系統(tǒng)重裝后，他們才發(fā)現(xiàn)用戶名與密碼找不回來(lái)了。筆者以前在從事網(wǎng)絡(luò)管理工作的時(shí)候，就經(jīng)常接到這種求助電話。可是，遇 到這種情況，筆者也愛(ài)莫能助。
　　解決方法：
　　針對(duì)這種情況，一定要注意在平時(shí)的時(shí)候，最好cookie文件的備份。其實(shí)，cookie文件的備份方法有很多。筆者這里介紹最常見(jiàn)的兩種方法。
一是通過(guò)IE瀏覽器自帶的導(dǎo)入導(dǎo)出功能。打開IE瀏覽器，選擇“文件”。會(huì)看到一個(gè)導(dǎo)入導(dǎo)出的功能。在這里，可以把這個(gè)用戶名義下的所有cookie文 件導(dǎo)出到非系統(tǒng)盤。如此的話，當(dāng)系統(tǒng)重新安裝后，只需要把這個(gè)文件重新導(dǎo)入即可。不過(guò)，這個(gè)方法有個(gè)缺陷，需要定時(shí)的進(jìn)行備份。不然的話，操作系統(tǒng)突然崩 潰時(shí)，即使恢復(fù)了，可能部分cookie文件信息也會(huì)丟失。
　　二是更改cookie存儲(chǔ)路徑。我們可以更改cookie文件的存儲(chǔ)路徑。默認(rèn)情 況下，他是保存在/Documents and Settings/用戶名/Cookies下。我們可以通過(guò)更改注冊(cè)表，讓其保存在非系統(tǒng)盤中。這么更改后，即使以后操作系統(tǒng)崩潰了，則只要把 Cookies文件的存放位置重定向，則Cookies信息就不會(huì)丟失。另外，一些小工具也可以幫助我們實(shí)現(xiàn)這個(gè)目的，如優(yōu)化大師等等。
　　三、設(shè)置cookies下載警告，用戶做到心中有數(shù)。
我們可以通過(guò)cookie下載警告，來(lái)提高cookie的安全性。也就是說(shuō)，當(dāng)網(wǎng)站向客戶端傳送cookie文件的時(shí)候，網(wǎng)頁(yè)會(huì)有一個(gè)警告信息，由用戶 來(lái)判斷是否需要下載cookie這個(gè)文件。這么設(shè)置以后，客戶端的IE就不會(huì)自作主張的去下載cookie文件。當(dāng)IE從某個(gè)站點(diǎn)接受cookie文件 時(shí)，都會(huì)顯示一個(gè)警告信息，客戶可以選擇接受還是不接受。
　　我們可以在工具-Internet-選項(xiàng)中的“高級(jí)”頁(yè)簽對(duì)話框內(nèi)，看到有一個(gè)關(guān)于 cookie的選項(xiàng)。其有兩個(gè)內(nèi)容可以選擇，分別是“總是接受cookie文件”與“接收cookie文件之前提示”兩個(gè)選項(xiàng)。不同版本的瀏覽器可能稱呼 有所不同。默認(rèn)情況下，系統(tǒng)采用的是前者。若我們需要系統(tǒng)提醒cookie信息的話，則就需要選中后面這一項(xiàng)。
　　另外，雖然用戶也可以通過(guò)其它 方法，如防火墻等等，強(qiáng)制關(guān)閉cookie文件下載。這雖然可以從跟原來(lái)消除cookie文件的安全隱患，但是，筆者不怎么建議采用。這主要是因?yàn)橛胁簧?的網(wǎng)站，其必須要求有cookie支持。若客戶段強(qiáng)制關(guān)閉cookie文件下載的話，則可能會(huì)導(dǎo)致某些網(wǎng)站無(wú)法訪問(wèn)或者某些功能無(wú)法正常使用。
　　雖然Cookies的出現(xiàn)，確實(shí)給用戶或者網(wǎng)站經(jīng)營(yíng)者提供了很大的方便。但是，隱藏在其背后的安全隱患，我們也不能夠忽視。