Cookies安全问题探讨摘要：cookies已广泛应用在各种web服务中，该文分析了cookies在web服务中的应用，指出了利用cookies不当获取用户隐私的现象，在此基础上，探讨加强防范意识和对网页浏览器进行设置，阻止cookies泄密的安全措施。

关键词：web服务；cookies；隐私保护；安全措施；浏览器中图分类号：tp393 文献标识码：a 文章编号：1009-3044（2013）14-3273-042013年央视的315晚会报道称，多家互联网广告营销公司涉嫌通过cookies等方式，侵犯用户的个人隐私信息。

央视指出，易传媒、品友互动、悠易互通、亿玛等互联网广告营销公司都在依靠cookies 信息进行精准广告的营销行为[1]。

这些公司的常见做法就是通过在门户网站的广告中添加代码，以获取用户电脑中的cookies信息。

在整个事件中，cookies无疑是最重要的关键词。

那么，cookies技术到底是什么？它是否会泄露用户的个人隐私吗？针对上述问题，该文在剖析cookies技术的基础上，探讨其存在的安全隐患以及给出相应的防范措施。

1 cookies技术概述cookies[2]最早是网景公司的前雇员lou montulli在1993年3月的发明，用于以弥补无状态http协议的不足。

为了减少设计，web服务采用的http协议具有无状态性，用户对不同页面的访问，以及同一页面的不同次访问之间的是没有状态关联的。

因此，web服务需要引入其他辅助技术来存储用户的访问信息，目前，主要有两种session技术[3]和cookies技术。

cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。

cookies是当你浏览某网站时，由web服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户id、密码、浏览过的页面、停留的时间等信息。

当你再次来到该网站时，网站通过读取cookies，得知你的相关信息，就可以做出相应的动作。

从本质上讲，它可以看作是你的身份证。

但cookies不能作为代码执行，也不会传送病毒，且为你所专有，并只能由提供它的服务器来读取。

保存的信息片断以“名/值”对（name-value pairs）的形式储存，一个“名/值”对仅仅是一条命名的数据。

一个网站只能取得它放在你的电脑中的信息，它无法从其它的cookies文件中取得信息，也无法得到你的电脑上的其它任何东西。

cookies中的内容大多数经过了加密处理，因此一般用户看来只是一些毫无意义的字母数字组合，只有服务器的cgi （common gateway interface）处理程序才知道它们真正的含义[4]。

cookies文件的存放位置为：“系统盘符：＼documents and settings＼＼＼local settings＼temporary internet files”文件夹，如图1所示。

每个cookies一般都会有一个有效期限，当用户访问网站时，浏览器会自动删除过期的cookies。

如果不设置过期时间，则表示这个cookies生命周期为浏览器会话期间，只要关闭浏览器窗口，cookies就消失了。

这种生命期为浏览会话期的cookies被称为会话cookies。

会话cookies一般不保存在硬盘上而是保存在内存里。

如果设置了过期时间，浏览器就会把cookies保存到硬盘上，关闭后再次打开浏览器，这些cookies依然有效直到超过设定的过期时间。

存储在硬盘上的cookies可以在不同的浏览器进程间共享，比如两个ie窗口。

而对于保存在内存的cookies，不同的浏览器有不同的处理方式。

此外，还有一种flash cookies，其正确名称应该是“flash player 本地存储”。

许多使用flash的网站使用此功能记住如下信息：输入的表单信息、在线游戏进度或高分、喜好设置（如最喜欢的播放音量）或在观看视频时上次离开的位置，还有网页游戏中的缓存。

有些单机flash 游戏的游戏记录功能就是依靠flash player 本地存储。

2 cookies技术在web服务中的应用从理论上讲，web服务器可以利用cookies包含信息的任意性来筛选并经常性维护这些信息，以判断在http传输中的状态。

cookies 最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是cookies的功用。

cookies技术在web服务中的具体应用主要包含以下几个方面：2.1 购物车购物车指的是应用于网店的在线购买功能，它类似于超市购物时使用的推车或篮子，可以暂时把挑选商品放入购物车、删除或更改购买数量，并对多个商品进行一次结款，是网上商店里的一种快捷购物工具。

为了存在购物用户在不同商品页面上选购的商品，网站可以先将这些预选的商品信息临时存在cookies文件中，类似于超市中的购物车。

购物网站的购物车在用户没有登录时依然能够保存用户所选物品，乃至到了另一页面不丢失，也是cookies的功劳。

2.2 实现自动登录当你在某个网站的登录框输入了用户名和密码，又勾选了下次自动登录时，关闭浏览器甚至重新开机后进入该网站，都会自动登录该账号，而无需用户再次输入账号和密码，这是cookies的功劳。

当用户在某个网站注册后，就会收到一个惟一用户id的cookies。

客户后来重新连接时，这个id会自动返回，服务器对它进行检查，确定它是否为注册用户且选择了自动登录，从而使用户无需给出明确的用户名和密码，就可以访问服务器上的资源。

2.3 精准广告用户在购物网站购物时，浏览了某类商品，然后在下一页面或者是下一次进入时，就会有同类商品的推荐广告出现，这样的精准广告投放也是cookies的功劳。

所谓精准广告是指利用浏览历史或者搜索特征关键词对用户进行分类，同时与广告主产品的特征进行关联，匹配和排序。

可以实现针对1个到1亿个网民群体的投放。

百度在2006年7月12日为此项服务申请了专利。

目前，有摩托罗拉、宝马和迪斯尼等广告主进行了投放实验，以提高广告投放的精准度。

举例来说，宾利汽车如果只希望自己的广告展示给一个关联度最高的客户看，以目前的广告技术完全可以做到。

网站使用cookies记录用户的意愿，并根据用户的爱好定制站点。

对于简单的设置，网站可直接将页面的设置存储在cookies中完成定制。

而对于更复杂的定制，网站仅只需将一个惟一的标识符发送给用户，由服务器端的数据库存储每个标识符对应的页面设置。

2.4 记住登录状态许多web信息系统需要用户的登录信息，利用cookies可以判断该浏览者是否已经登录，并根据登录状态赋予不同的权限。

3 cookies的安全分析网站可能会利用cookies来收集用户的浏览网页习惯及所感兴趣的内容，用于互联网的精准广告投递模式。

利用cookies，一些用户的浏览行为可能会被第三方利用，比如在网友在浏览某个购物网站后，再访问其他带有广告的网站时，有时会发现打开的页面中居然投放着刚才搜索的商品广告，这就说明原先那个网站把cookies 内容分享给当前网站了，因此被定向投放了广告。

cookies有一个安全机制，那就是cookies只能被放置它的网站读取，这一点是由浏览器保证的，这也是浏览器的一个重要的安全机制，所以别为了小众而去使用不知名的浏览器。

但是个别网站允许第三方公司加放代码窃取用户cookies。

cookies不是可执行程序，更不是病毒。

任意一款恶意软件，甚至某些免费软件收集的用户信息都绝对比它多得多，甚至还可能包含了用户的隐私文件。

即使没有cookies，网站照样可以轻而易举获取用户访问信息。

虽然cookies的危害并没有想象中的那么大，但是它仍包含了一些敏感信息，比如用户名、计算机名、用户使用的浏览器和用户曾经访问过的网站等。

用户肯定不愿意这些敏感信息泄漏出去，尤其是当其中还包含有隐私的个人信息的时候。

4 防范cookies泄密的安全措施4.1 加强防范意识就cookies 本身来言，能够为用户提供便利，但是如果被一些人利用的话，便有可能威胁到用户的个人信息安全，因此用户在使用过程中，要对cookies的弱点给予重视。

用户通常在某个网站中填写了注册信息等资料后，便会储存在cookies 中，因此要加强防范意识，防止别人利用个人信息来冒充用户身份，做出一些损害用户利益的行为。

4.2 配置安全浏览器4 总结cookies并没有想象的那么危险，而在当前网友们似乎也离不开cookies。

大家无需惊慌，cookies远比病毒木马之流安全得多。

正如美国著名计算机安全专家布鲁斯·施奈尔说：“人们愿意分享各种信息，只要它们在控制之下。

”cookies强调的是对海量数据的挖掘，关注的是海量人群的喜好、年龄、收入等状况，商家并不会对单个用户的数据感兴趣。

如果要保护隐私，应该从银行，房地产公司入手，他们的短信泄露用户的隐私更严重，而不是cookies。

综上所述，用户可以通过增强防范意识，了解cookies技术和安全问题，配置浏览器，使用cookies 管理工具等方法来保障个人信息的安全。

cookies虽然对用户信息安全造成了一定的威胁，但是cookies为用户提供的方便也是不可否认的，因此，我们要辩证的看待cookies技术。

参考文献：[1] 央视315称部分互联网广告涉嫌侵犯用户隐私[eb/ol].（2013-03-15）.http：///i/2013-03-15/22238150634.shtml.[2] 王军，姜楠.cookie机制与安全问题研究[j].机械设计与制造，2006（8）：144-146.[3] 张洪 session的原理及应用[j].电脑编程技巧与维护，2011（2）：44-46.[4] 叶骁骁.入侵苏州特价图书批发网——cookies欺骗原理的应用[j].科技咨询导报，2007（18）：234-235.[5] 胡忠望，刘卫东.cookie应用与个人信息安全研究[j].计算机应用与软件，2007（3）：50-53.[6] 李馥娟.基于cookies的web应用分析及其安全研究[j].网络安全技术与应用，2009（8）：63-67.[7] 武丽芬，傅小丽.cookie[j].电脑开发与应用，2010（7）：78.。