cookies的具體含意和詳解？

熱心網(wǎng)友

小甜餅Cookie，一說起，一大早的，真有點(diǎn)餓了，呵呵，起來一個小時了，不過很早就想說點(diǎn)關(guān)于COOKIE的東東了，主要是網(wǎng)上有不少文章，但是講解的不是很清楚，大家可能還是不很明白。今天就講講這個吧！很普通的一個名詞，卻與安全有很大關(guān)聯(lián)。一，什么是COOKIECookies是一種能夠讓網(wǎng)站服務(wù)器把少量數(shù)據(jù)儲存到客戶端的硬盤或內(nèi)存，或是從客戶端的硬盤讀取數(shù)據(jù)的一種技術(shù)。Cookies是當(dāng)你瀏覽某網(wǎng)站時，由Web服務(wù)器置于你硬盤上的一個非常小的文本文件，它可以記錄你的用戶ID、密碼、瀏覽過的網(wǎng)頁、停留的時間等信息。當(dāng)你再次來到該網(wǎng)站時，網(wǎng)站通過讀取Cookies，得知你的相關(guān)信息，就可以做出相應(yīng)的動作，如在頁面顯示歡迎你的標(biāo)語，或者讓你不用輸入ID、密碼就直接登錄等等。從本質(zhì)上講，它可以看作是你的身份證。但Cookies不能作為代碼執(zhí)行，也不會傳送病毒，且為你所專有，并只能由提供它的服務(wù)器來讀取。二，COOKIE在哪？ 在Windows 9X系統(tǒng)計(jì)算機(jī)中，Cookies文件的存放位置為C:/Windows/Cookies，在Windows NT/2000/XP的計(jì)算機(jī)中，Cookies文件的存放位置為C:/Documents and Settings/用戶名/Cookies（每個文件都不會超過4KB） 它們的文件名格式為：你的用戶名@你瀏覽的網(wǎng)站網(wǎng)頁地址[COOKIE改變的次數(shù)]。txt具體的例子：administrator@sohu[1]要注意的是：硬盤中的Cookies屬于文本文件，不是程序。三，COOKIE的作用cookie起到一個什么樣子的作用呢？有些時候，你第二次訪問某個網(wǎng)站的時候，你的用戶名已經(jīng)自動出現(xiàn)了？呵呵，那個就是網(wǎng)站從你的本地計(jì)算機(jī)上提取的cookie。有些網(wǎng)站，甚至把一些權(quán)限字段寫入cookie，那就很危險了。因?yàn)榫W(wǎng)站，從你本地的cookie中讀取數(shù)據(jù)，然后根據(jù)這些數(shù)據(jù)判定你的身份，如果你要是修改本地數(shù)據(jù)，把自己的cookie中的某些字段修改成管理員所具有的權(quán)限的值，那你訪問這些網(wǎng)站的時候，就具有管理員權(quán)限了。現(xiàn)在對于cookies與用戶隱私權(quán)的問題并沒有相關(guān)法律約束，很多網(wǎng)站利用cookie跟蹤用戶行為，有些程序要求用戶必須開啟cookie才能正常應(yīng)用。禁用cookie的話，可以增強(qiáng)你電腦的信息安全程度，但是這樣有些站點(diǎn)或者論壇根本無法登陸，雖然用戶名和密碼都正確，比如登陸我們軍團(tuán)的blog 。另外尤其注意的是：一個網(wǎng)站只能取得它放在你的電腦中的信息，它無法從其它的Cookies文件中取得信息，也無法得到你的電腦上的其它任何東西四，COOKIE欺騙這就是說 由于cookie信息是保存在客戶端的，用戶可以自定義修改其內(nèi)容，從而欺騙服務(wù)器端程序，以其它用戶身份登錄。這就是所謂的cookie欺騙攻擊。要進(jìn)行cookie欺騙可以有多種途徑： １、跳過瀏覽器，直接對通訊數(shù)據(jù)改寫 ２、修改瀏覽器，讓瀏覽器從本地可以讀寫任意域名cookie ３、使用簽名腳本，讓瀏覽器從本地可以讀寫任意域名cookie（有安全問題） ４、欺騙瀏覽器，讓瀏覽器獲得假的域名方法１、２需要較專業(yè)的編程知識，對普通用戶不太合適。 方法３的實(shí)現(xiàn)有兩種方法： １、直接使用簽名腳本，不需要簽名驗(yàn)證，但是產(chǎn)生很嚴(yán)重的安全問題，因?yàn)榇蠹叶家暇W(wǎng)的，如果這樣做你的硬盤文件就…… ２、對腳本進(jìn)行簽名后再使用簽名腳本，但是需要專用的數(shù)字簽名工具，對普通用戶也不合適。 方法４域名欺騙很簡單，也不需要什么工具（當(dāng)然如果你的機(jī)器裝有web服務(wù)器那更好了）基本就是是本機(jī)上建立一個模擬環(huán)境，然后把要訪問網(wǎng)站的域名地址解析到你的本機(jī)，然后設(shè)置cookie即可。但是前提是：1，Cookies中的內(nèi)容不是明文存放的，大多數(shù)經(jīng)過了加密處理，因此一般用戶看來只是一些毫無意義的字母數(shù)字組合，只有服務(wù)器的CGI處理程序才知道它們真正的含義。你必須要鉆研網(wǎng)站的源代碼，搞明白cookie是如何設(shè)置的才能欺騙。2， cookie中一定要保存權(quán)限信息，只有保存了權(quán)限信息，才可以有點(diǎn)用處3，很多網(wǎng)站在cookie中還加入了一些隨機(jī)數(shù)，和一些即時的session變量，你改了cookie，就通不過他們服務(wù)器的認(rèn)證還是沒用。 五，保護(hù)自己的隱私cookie里有大量的個人隱私。Cookie欺騙可能導(dǎo)致用戶信息泄露。我們可以IE窗口中的"工具"　"In-ernet選項(xiàng)"，打開"Internet選項(xiàng)"設(shè)置窗口來進(jìn)行設(shè)置，當(dāng)然也可以使用防火墻來進(jìn)行保護(hù)隱私。。