e博士看台(22):不可忽视的“小甜饼”——Cookie
网络通信
很多用户都有这样的经历,当访问某个网站时,网站页面中显示“欢迎光临,您是第XX次访问该站”。可能有些朋友感到非常奇怪,为什么这个网站知道我访问了多少次?这是因为你机器中的Cookie泄了密,将所有访问该网站的信息都告诉了它。
Cookie是什么
Cookie是Web服务器保存在用户硬盘上的一个文本文件。Cookie允许一个Web站点在用户的电脑中保存所要访问的信息,并随后读取它,Cookie文本文件的信息片断是以“名/值”的形式储存的。
当用户第一次访问某个网站时,该网站服务器就将用户的登录信息,如用户名、密码、登录时间等,记录到Cookie文本文件中并保存在用户机器的Cookies目录下。当用户再次访问该网站时,网站服务器就会从用户机器的Cookie文本文件中读取登录信息,从而方便用户对该网站的访问,因此,现在大部分网站都支持Cookie。
提示:Cookies文件夹路径在不同版本的Windows系统中稍有差异,Windows 98系统位于“C:\Windows\Cookies”,而Windows2000/XP/2003位于“C:\Documents and Settings\用户名\Cookies”。
Cookie的安全隐患
虽然Cookie给用户访问网站带来很多便利,但它的安全性却令人担心。Cookie文本文件中保存着很多用户的重要信息,一旦这些信息被窃取或泄漏,将会给用户带来重大损失。随着黑客技术的不断发展,特别是在局域网环境中,这些保存在文本文件中的没被加密的用户信息很容易被窃取。
用户自己的操作失误也会导致Cookie文本文件信息的泄漏,如用户使用已注册的账号访问某些论坛网站,离开时并没有退出,而是直接关闭Web浏览器,这样该用户的用户名、密码等信息依然保存在本机的Cookie文件中,并没有被清除。如果这时别的用户使用这台机器访问该论坛网站,就能使用这个账号自动登录,轻易获得该用户的所有权限。
因此,为了保证机器的安全,很多用户禁用了Cookie功能。但这里也要注意,有些网站(特别是论坛)需要Cookie功能的支持,这时重新打开Cookie功能就可以正常访问了。
禁用Cookie的方法
为了保证用户重要信息的安全,下面笔者以Windows系统为例介绍三种禁用Cookie的常用方法。
1.设置Internet 选项
运行IE6.0浏览器,在主窗口中点击“工具→Internet选项”,弹出Internet选项对话框,切换到“隐私”标签页(图1)。将“设置”栏中的滑块上移到顶端更高的隐私级别,这样IE就会阻止所有的Cookie,最后点击“确定”按钮即可。
提示:不同版本的IE浏览器设置稍有差异,在IE5.5浏览器中,应在Internet选项对话框的“安全”标签页内进行设置。
2.修改文件夹属性
运行Windows资源管理器,进入到Cookies文件夹所在的目录,笔者以Windows 2000系统为例,在“C:\Documents and Settings\用户名\”目录下,右键单击Cookies文件夹,在弹出的菜单中选择“属性”,接着在“Cookies属性”对话框中选中“只读”复选框(图2),然后点击“应用”按钮,接着弹出“确认属性更改”对话框,选中“将该更改应用于该文件夹、子文件夹、文件”单选项,最后点击“确定”。此外还要将Cookies文件夹下的所有Cookie文本文件删除。Windows 98系统的Cookies文件夹位于“C:\Windows”目录下,修改方法同上。
这样Web站点就无法将用户登录信息写入Cookies文件夹了,起到禁用Cookie功能的目的。
3.修改注册表
点击“开始→运行”,在运行对话框中输入“regedit”命令,确定后弹出注册表编辑器窗口,然后依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Special Paths\Cookies”,右键单击“Cookies”,在弹出的菜单中选择“删除”选项,点击“是”后,完成删除操作,最后删除Cookies文件夹下的所有Cookie文本文件,重新启动Windows系统。