cookies的具体含意和详解?
热心网友
小甜饼Cookie,一说起,一大早的,真有点饿了,呵呵,起来一个小时了,不过很早就想说点关于COOKIE的东东了,主要是网上有不少文章,但是讲解的不是很清楚,大家可能还是不很明白。今天就讲讲这个吧!很普通的一个名词,却与安全有很大关联。一,什么是COOKIECookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。当你再次来到该网站时,网站通过读取Cookies,得知你的相关信息,就可以做出相应的动作,如在页面显示欢迎你的标语,或者让你不用输入ID、密码就直接登录等等。从本质上讲,它可以看作是你的身份证。但Cookies不能作为代码执行,也不会传送病毒,且为你所专有,并只能由提供它的服务器来读取。二,COOKIE在哪? 在Windows 9X系统计算机中,Cookies文件的存放位置为C:/Windows/Cookies,在Windows NT/2000/XP的计算机中,Cookies文件的存放位置为C:/Documents and Settings/用户名/Cookies(每个文件都不会超过4KB) 它们的文件名格式为:你的用户名@你浏览的网站网页地址[COOKIE改变的次数]。txt具体的例子:administrator@sohu[1]要注意的是:硬盘中的Cookies属于文本文件,不是程序。三,COOKIE的作用cookie起到一个什么样子的作用呢?有些时候,你第二次访问某个网站的时候,你的用户名已经自动出现了?呵呵,那个就是网站从你的本地计算机上提取的cookie。有些网站,甚至把一些权限字段写入cookie,那就很危险了。因为网站,从你本地的cookie中读取数据,然后根据这些数据判定你的身份,如果你要是修改本地数据,把自己的cookie中的某些字段修改成管理员所具有的权限的值,那你访问这些网站的时候,就具有管理员权限了。现在对于cookies与用户隐私权的问题并没有相关法律约束,很多网站利用cookie跟踪用户行为,有些程序要求用户必须开启cookie才能正常应用。禁用cookie的话,可以增强你电脑的信息安全程度,但是这样有些站点或者论坛根本无法登陆,虽然用户名和密码都正确,比如登陆我们军团的blog 。另外尤其注意的是:一个网站只能取得它放在你的电脑中的信息,它无法从其它的Cookies文件中取得信息,也无法得到你的电脑上的其它任何东西四,COOKIE欺骗这就是说 由于cookie信息是保存在客户端的,用户可以自定义修改其内容,从而欺骗服务器端程序,以其它用户身份登录。这就是所谓的cookie欺骗攻击。要进行cookie欺骗可以有多种途径: 1、跳过浏览器,直接对通讯数据改写 2、修改浏览器,让浏览器从本地可以读写任意域名cookie 3、使用签名脚本,让浏览器从本地可以读写任意域名cookie(有安全问题) 4、欺骗浏览器,让浏览器获得假的域名方法1、2需要较专业的编程知识,对普通用户不太合适。 方法3的实现有两种方法: 1、直接使用签名脚本,不需要签名验证,但是产生很严重的安全问题,因为大家都要上网的,如果这样做你的硬盘文件就…… 2、对脚本进行签名后再使用签名脚本,但是需要专用的数字签名工具,对普通用户也不合适。 方法4域名欺骗很简单,也不需要什么工具(当然如果你的机器装有web服务器那更好了)基本就是是本机上建立一个模拟环境,然后把要访问网站的域名地址解析到你的本机,然后设置cookie即可。但是前提是:1,Cookies中的内容不是明文存放的,大多数经过了加密处理,因此一般用户看来只是一些毫无意义的字母数字组合,只有服务器的CGI处理程序才知道它们真正的含义。你必须要钻研网站的源代码,搞明白cookie是如何设置的才能欺骗。2, cookie中一定要保存权限信息,只有保存了权限信息,才可以有点用处3,很多网站在cookie中还加入了一些随机数,和一些即时的session变量,你改了cookie,就通不过他们服务器的认证还是没用。 五,保护自己的隐私cookie里有大量的个人隐私。Cookie欺骗可能导致用户信息泄露。我们可以IE窗口中的"工具" "In-ernet选项",打开"Internet选项"设置窗口来进行设置,当然也可以使用防火墙来进行保护隐私。。