HTTP協議 (七) ---Cookie

標籤：tin   原理   廣告商   firefox   自己   setting   使用者   使用者名稱   需要   

HTTP協議 (七) Cookie

Cookie是什麼，有什麼用，為什麼要用到Cookie

請看Fish Li 寫的【細說Cookie】

 

Cookie的分類

可以大致把Cookie分為2類： 回話cookie和持久cookie

會話cookie: 是一種臨時的cookie，它記錄了使用者訪問網站時的設定和偏好，關閉瀏覽器，會話cookie就被刪除了

持久cookie: 儲存在硬碟上，（不管瀏覽器退出，或者電腦重啟，持久cookie都存在）， 持久cookie有到期時間

 

Cookie存在哪裡

Cookie是存在硬碟上，  IE存cookie的地方和Firefox存cookie的地方不一樣。  不同的作業系統也可能存cookie的地方不一樣。

不同的瀏覽器會在各自的獨立空間存放Cookie, 互不干涉

以我的windows7， IE8為例，  cookie存在這： C:\Users\xiaoj\AppData\Local\Microsoft\Windows\Temporary Internet Files

注意： 快取檔案和cookie檔案，是存在一起的, 都在這個目錄下。

你也可以這樣找, 開啟IE，點擊Tools->Internet Options->General Tab下的->Browsing history下的Setting按鈕，彈出的對話方塊中點擊View files.

 

 

不同的網站會有不同的cookie檔案

 

 

使用和禁用Cookie

IE:   工具->Internet 選項 -> 隱私

 

 

Fiddler查看HTTP中的Cookie

瀏覽器把cookie通過HTTP Request 中的“Cookie: header”發送給Web伺服器

Web伺服器通過HTTP Response中的"Set-Cookie: header"把cookie發送給瀏覽器

使用Fiddler可以清楚地看到cookie在HTTP中傳遞。 Fiddler工具中可以清晰的看到Http Request 中的Cookie， 和Http Response中的cookie  

執行個體： 啟動Fiddler,  啟動瀏覽器訪問一些購物網站，就可以看到。

 

 

網站自動登陸的原理

我們以”部落格園自動登陸“的例子，來說明cookie是如何傳遞的。

大家知道部落格園是可以自動登陸的。 如，這個是什麼原理呢?

 

假如我已經在登陸頁面輸入了使用者名稱，密碼，選擇了儲存密碼，登陸。

（這時候，其實在你的機器上儲存好了登陸的cookie, 不信你可以按照上節介紹方法去你的電腦上找下部落格園的cookie）  

當我下次訪問部落格園流程如下。

1. 使用者開啟IE瀏覽器，在地址欄上輸入www.cnblogs.com.

2. IE首先會在硬碟中尋找關於cnblogs.com的cookie. 然後把cookie放到HTTP Request中，再把Request發給Web伺服器。

3. Web伺服器返回部落格園首頁（你會看到你已經登陸了）。

 

 

截獲Cookie，冒充別人身份

通過上面這個例子，可以看到cookie是很重要的，識別是否是登陸使用者，就是通過cookie。  假如截獲了別人的cookie是否可以冒充他人的身份登陸呢？  當然可以， 這就是一種駭客技術叫Cookie欺騙。

利用Cookie 欺騙， 不需要知道使用者名稱密碼。就可以直接登入，使用別人的賬戶做壞事。

我知道有兩種方法可以截獲他人的cookie，

1. 通過XSS腳步攻擊， 擷取他人的cookie. 具體原理可以看 [Web安全性測試之XSS]

2. 想辦法擷取別人電腦上儲存的cookie檔案（這個比較難）

 

拿到cookie後，就可以冒充別人的身份了。 這個過程我就不示範了。

Cookie和檔案快取的區別

很多人會把cookie和檔案快取弄混淆， 這兩個完全是不一樣的東西。唯一的相同之處可能是它們倆都存在硬碟上，而且是存在同一個檔案夾下。

關於HTTP緩衝請看這 【HTTP協議之緩衝】

我們在IE中可以選擇分別刪除Cookie和快取檔案

 

 

Cookie 泄露隱私

2013年央視的315晚會上， 曝光了很多不法公司利用Cookie跟蹤並採集使用者的個人資訊，並轉賣給網路廣告商，形成了一條竊取使用者資訊的灰色產業鏈。從而實現廣告準確投放。嚴重幹擾了使用者的正常網路應用，侵害了個人的隱私和利益。

我經常就在門戶網站上發現廣告位上顯示的是我在電商網站上流量過的商品。  這就是我的cookie被泄露了。

 

目前在歐洲， 已經對Cookie立法， 如果網站需要儲存使用者的cookie, 必須彈出一個對話方塊，要使用者確認後才能儲存Cookie.

 

P3P協議

從上面看來， Cookie 是一個比較容易泄露使用者隱私和危險的東西。  有沒有辦法保護個人使用者隱私呢？    那就是P3P協議

P3P是一種被稱為個人隱私安全平台項目（the Platform for Privacy Preferences）的標準，能夠保護線上隱私權，使Internet衝浪者可以選擇在瀏覽網頁時，是否被第三方收集並利用自己的個人資訊。如果一個 網站不遵守P3P標準的話，那麼有關它的Cookies將被自動拒絕，並且P3P還能夠自動識破多種Cookies的嵌入方式。p3p是由全球資訊聯盟網 所開發的。

 

HTTP協議 (七) ---Cookie