科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全看看偏执狂是怎样管理Cookies的

看看偏执狂是怎样管理Cookies的

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

管理网络Cookies的时间,你有多偏执?在这上面,你准备花费了多少时间,将采用了什么策略?

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2009年11月27日

关键字: Cookies 黑客 信息安全 浏览器

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

管理网络Cookies的时间,你有多偏执?在这上面,你准备花费了多少时间,将采用了什么策略?
--------------------------------------------------------------------------------------------

  在使用网络浏览器的时间,大部分人都不会对Cookies进行任何形式的管理。浏览器只是接受所有的Cookies并保存到过期——如果有这样的设置的话——为止。曾经有一段时间,似乎所有人都关注Cookies被追踪的问题,但是这样的时间已经过去了。

  不过,还是有些人试图对浏览器中的Cookies进行一些管理。不过,对于不同的人来说,选择的Cookies管理策略差异很大。

    Cookies管理策略

  拒绝所有Cookies

  一个简单(但会导致不便)的方法是直接禁止所有Cookies的使用。当然,这会导致登陆到需要Cookies的网站时,变得非常困难。更糟糕的是,一些网站会不能正常浏览。当你访问由WordPress.com提供服务的自定义域名的网络日志时,禁止所有Cookies的使用就会出现这样的情况。该网站将进入一个无限循环加载,主要是告诉人们,如果拒绝了所有Cookies,“我们就不想让你访问我们的网站。”

  我需要指出这一点,对于网站运营来说,必须Cookies等于糟糕的设计,这不是一个好办法,并且WordPress.com提供的服务对于域名托管来说也不是恰当的选择。但这改变不了一种事实,我们有时间需要访问WordPress.com支持的网站,就如同我们登录TechRepublic一样,这样导致拒绝所有Cookies变得没有任何意义,尽管这种做法看起来是最理想的。

  退出时清除Cookies

  另一种简单的方法是对浏览器进行配置,在退出时清除所有的cookies。尽管这样的话,在当前浏览会话中它不会处理不良cookies,它可以确保在你访问一个有点问题的网站后登录到银行网站时,信息不会被cookie获得,导致危险的出现。你所要做的就是关闭访问银行网站时使用的浏览器,然后再打开浏览器访问另一个网站了。

  这样会让你不能“永久”登陆到一些网站上,会给一些人的工作带来影响。因此,如果希望直接登陆到TechRepublic网站而不必每次都输入登陆信息的话,选择使用cookies可以确保你直接到达相应的讨论。

  这种做法还可以防止别人通过物理连接窥探你的计算机系统,特别是在象cookies一样将历史信息清理了的情况下效果会更好。

  隐私模式

  现在,网络浏览器开始提供隐私,或者说“伪装”浏览模式了。在这种模式下,创建的标签或者单独的浏览进程产生的cookies和历史将和主要浏览进程下产生的分离开,并且在退出的时间将会自动清除。在退出隐私浏览模式或者标签的时间,浏览器依然运行在正常配置下,使用的标签和以前的并没有区别。只要不使用隐私模式,你可以随时“永远”登陆任何喜欢的网站。

  这样也可以更好地防范来自本地的窥探,只要使用了隐私模式,你访问不希望其它人知道的网站时,不会有cookies和历史记录。在与此同时,浏览器cookies和历史记录的其余部分将可以正常进行管理。

  拒绝第三方Cookies

  有些浏览器提供接受第一方Cookies,但拒绝第三方Cookies的功能。一般来说,从安全方面考虑拒绝第三方Cookie(和脚本等)似乎是一个好主意。但不幸的是,在现实世界中,事情根本没有我们期望那么简单。很多网站通过不同的域名使用登陆cookies,举例来说,登陆www.example.com时,登陆Cookies来自login.example.com,如果你拒绝所有第三方cookies的话,你就可以发现根本无法登陆到www.example.com上。

  同样的问题也经常出现在选择是否接受或者禁止第三方JavaScript和其他第三方功能上,如同跨站脚本攻击(XSS)漏洞攻击诱惑你运行第三方脚本的情形一样。

  细化控制

  有些浏览器提供了非常优秀的细化控制功能,对于希望直接控制的人来说是不错的选择,但大部分细化功能在通常情况下都使用了自动设置选项。火狐浏览器就是一个很好的例子,在这里你可以对每个Cookie进行直接管理,但唯一的控制手段是在未来是否接受该cookies,大部分的工作都需要用户亲手来做。

    结 论

  当然,一些网络浏览器提供了扩展系统,其中的一些可以为浏览器增加额外的Cookie管理功能。但与此同时,一些浏览器提供了比其他同类少的cookie管理方案。这就是谷歌Chrome浏览器,到目前为止,它并没有象谋智火狐浏览器一样提供细化控制功能,这也是火狐高于Chrome的极少数优势之一,如果你忽略火狐扩展插件的数量和Chrome的推广体系(这是目前只有开发人员预览版)的话。

  取决于你使用浏览器的种类,实际上还可以提供很多种选择。你选择什么功能,取决于偏执的程度有多高。

  当然,对于Flash cookies来说,所有的这些方法都没有用处。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章