科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Cookie:适用而不滥用

Cookie:适用而不滥用

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

网易、品友互动等互联网公司由于涉嫌使用Cookie盗取用户个人信息而成为了今年央视315晚会的矛头所向。在315晚会中,央视报道网易向第三方机构泄露用户Cookie以及利用用户资料牟利。经此报道,Cookie这一IT圈内的著名词汇被推到了舆论的风口浪尖之上。

来源:网界网 2013年3月20日

关键字: Cookie 广告 隐私

  • 评论
  • 分享微博
  • 分享邮件

网易、品友互动等互联网公司由于涉嫌使用Cookie盗取用户个人信息而成为了今年央视315晚会的矛头所向。在315晚会中,央视报道网易向第三方机构泄露用户Cookie以及利用用户资料牟利。经此报道,Cookie这一IT圈内的著名词汇被推到了舆论的风口浪尖之上。

节目播出之后,在网上引起了广泛的讨论。IT业内人士普遍持一种不屑一顾的态度,尽管如此,各大门户网站还是出了很多文章来向众多不明真相的群众释疑,何为Cookie,以及它与隐私的关系。笔者认为,要想知道为什么Cookie会有如央视所说的能力,还需要从互联网商业化的历史了解。而对于Cookie这样一种备受争议的文件,不论是企业还是个人都需要予以重视。

互联网商业化的基石

Cookie在被发明之初是为了解决HTTP协议的无状态性,维持客户端与服务器通信会话的状态,进而用来实现交互式的Web应用程序。另外,网站为了辨别用户身份而将相关信息记录在Cookie中,储存在用户本地终端(手机或电脑)上,这些数据以文本形式存在,且通常都会进行加密处理。当用户在浏览网页时,浏览器会在Cookie中记录用户在网页上所输入的文字,当该名用户再次浏览该网页时,浏览器就能通过Cookie直接判断该名使用者身份,从而送出特定的网页内容。需要声明的是,Cookie是个人用户在某一网站的唯一标识,也就是说,每一个网站都会为用户生成一个Cookie文件,用来跟踪用户访问行为。

不论是互联网的精准广告投递模式,还是用户通过浏览器访问互联网的体验逐步提升,都是建立在借用Cookie数据的基础之上。而广告的精准投放,正是目前互联网公司赖以生存的基石。提到互联网广告,雅虎和谷歌是不得不说的两家公司。首先,翻看互联网的历史可以了解到,作为互联网革命先驱的雅虎,创立了通过向广告主收费,以达到让用户免费使用网络服务的互联网公司生存模式,同时也刺激了电子商务的发展。此后,谷歌将此模式发展、进化,从而产生了根据用户喜好来定向投放广告的模式,使得广告投放的更加精准、有效。而这其中的关键,则是对于Cookie的成功利用。

通过对Cookie文件的分析,可以得知用户的年龄、性别、兴趣喜好、收入水平等,以及访问某网站的频率、时间段、对于内容的好恶,从而更加有针对性地向用户投放广告。当用户登录旅游相关的网站时,网站也会通过分析Cookie中存放的信息,为用户提供符合其偏好的目的地或行程组合等等。此种例子不胜枚举,正是由于Cookie的存在,互联网才迎来了其能够改变世界的那一天。而对于用户来说,又是否感觉到访问互联网的体验越来越好了呢?正是由于网站对于用户/用户群的差异化呈现,才有了用户对于上网体验质的提升。

Cookie侵犯隐私了吗?

由于整个抓取、分析、呈现的过程都是由程序自动实现的,因此互联网公司对于Cookie的分析,仅限于用户的一些访问信息,比如说访问时间、频率、喜好、年龄等等。而不会细化到家庭住址、电话、姓名等信息。也就是说,所谓精准营销是指:互联网公司知道用户可能更愿意看到的内容,而不会知道每个用户的个人属性。当然,不同用户对于隐私有自己的评价标准。因此何为隐私信息还需要用户自己判断,很难给出一个公共的标准。

对于用户来说,就一定要“人为刀俎我为鱼肉”吗?在用户方,也就是浏览器端,所持有两种Cookie,即临时Cookie(Session Cookie)和本地Cookie(Third-party Cookie)。两者都是基于浏览器的。也就是说,不同的浏览器Cookie不同,不能被跨浏览器使用。而二者的区别在于,本地Cookie在创建时被服务器指定了Expire 值,用来标识过期时间,也就是说,只要是在过期时间到达之前,抑或是用户自行删除,这种Cookie会一直存放在本地;而临时Cookie则没有Expire值,当浏览器关闭后,该Cookie会自行删除。除此之外,还有一种Cookie,名为Flash Cookie。由于该Cookie是依托于Flash的,导致该Cookie可以被不同的浏览器访问。该文件并不能通过浏览器被删除,需要删除该文件只需找到Flash的存放目录即可。

对于Cookie信息的使用,W3C也做出过努力。P3P(the Platform for Privacy Preferences)就是成果之一,是该组织制订的一项关于隐私的标准。P3P是一种可以提供这种个人隐私保护的策略,使用户可以浏览网页时,选择是否被第三方收集并利用自己的个人信息。如果网站不遵守P3P标准,那么有关它的Cookies将被自动拒绝,并且P3P还能够自动识破多种Cookies的嵌入方式。

此外,W3C还发起了Do not Track(DNT)的保护隐私运动。在支持DNT功能的浏览器中,用户可以选择开启该功能,借以保护自己的行为不被商业网站所追踪。在今年的RSA大会上也被提及,倡议更多的浏览器开发厂商支持这一功能,以便更好地保护用户隐私。当用户在浏览器中选择开启DNT功能时,浏览器会在 HTTP通信时添加一个“头信息”(headers),这个头信息向商业网站的服务器表明用户不希望被追踪,遵守该规则的网站就不会追踪用户的个人信息来用于更精准的在线广告。

当然,如果用户选择了不上传Cookie文件,而网站还是获取到了,这就是网站的不道德行为甚至是违法行为,也是很明显的在侵犯用户隐私。

如果没有Cookie

事实上,很多互联网公司都未曾积极响应W3C发起DNT的隐私保护运动。其原因也并不只是盈利的问题,而是一旦没有或者全部禁用了Cookie,互联网行业的运营模式将产生巨大的变革。如上所说,广告的精准投放,或者说定制化投放,很大程度上依赖于对Cookie数据的分析,一旦停止Cookie的上传,禁止网站对用户的访问进行跟踪,当前的广告投放精准度势必会受到致命威胁。

然而,在用户端还存在另一个问题。当用户的访问行为不再能被追踪,网站也将不能对于用户的历史访问来向用户定制化呈现页面内容,其访问体验也将大打折扣。当用户的访问行为不再能被网站追踪到之后,用户可能再也看不到“猜你喜欢”或者“推荐阅读”之类的信息。而对于此类信息的好恶,也是因人而异。就像每个人对于隐私的定义不同一样。

作为互联网公司,不能做Cookie收集、分析,也就无法了解用户的需求,无法对用户群进行分析,现有的广告投放系统将不再能提供很高的有效性,而广告投放又是互联网公司实现盈利的重要因素,所以整个互联网产业模式也将产生很大的改变。

当然,上面所说只是假设,真正的巨头公司不会坐以待毙。一旦强制不使用Cookie,巨头们也会使用别的技术来实现与Cookie相似或者更高级的功能。而他们所需要做的,就是通过修改用户条款的方式通知用户,但是又有多少用户会仔细阅读那些纷繁冗长的条款呢?

即使没有Cookie,隐私问题也依然存在。近日360安全软件频频被揭露上传用户文件的事件。而此类事件也势必会发生在其他人们常用的软件上。再加上各种病毒、木马的肆虐,以及XSS(跨站点脚本攻击)、CSRF(跨站点请求伪造)等等利用Cookie的黑客攻击手段。因此,用户的隐私问题,绝不是一个Cookie这么简单。

结束语

当然,对于Cookie的态度,公司和个人用户都应该重新审视。不能认为Cookie的存在时间长,推动了互联网商业模式的发展,就能够被用来收集用户的各种资料。由于Cookie被滥用,确实在某种程度上危及了个人的隐私安全。瑞典已经通过对Cookie立法,要求利用Cookie的网站必须说明其属性,并且指导用户如何禁用Cookie。而我国还并没有在这方面有相关法律法规对Cookie的使用进行限制。在个人用户方面,如果认为自己的访问行为等等信息均为个人隐私,完全可以在浏览器中开启DNT功能,或者在关闭浏览器时清除Cookie。

媒体也需要扮演好信息纽带的桥梁,尽量减少信息不对称的情况。尽量做到报道如实,中立,全面,让用户有较好的认知。博客中国创始人方兴东也曾公开表示,媒体报道对Cookie的片面化、简单化、妖魔化的报道,引起用户无谓的恐慌,不利于问题认清与解决。Cookie的有效合理使用,是互联网的优势所在,也是互联网的价值,不能把Cookie问题简单化绝对化,要做的是防止滥用,而不是不用。

对于这些Cookie信息,公司或网站需要很妥善地处理和保管。如果需要分析,也应只分析具有统计学意义的相关数据,比如年龄、性别、地域、职业等等,而对于涉及个人姓名、详细住址、证件号码等等的数据,应予以删除处理。因此,对于Cookie来说,要适用而不是滥用。要做到这点,需要的不仅是法律法规的约束,更加需要提升公民和从业者的约束力以及道德修养。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章