正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
前沿科技
车与出行
商业消费
社会文化
金融财经
出海
国际热点
游戏娱乐
健康
书影音
医疗
3C数码
观点
其他
虎嗅视界
24小时
专题/活动
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
深圳
惠州
双机场城市
机场
城市经济
云南
广汽集团
广东
电影
账号或密码错误
2013-03-16 22:22
为什么Cookie泄露对“贱人”来说是要命的?
八卦之王
央视的3.15晚会让一个平时只有Web开发者才知道的术语变得人人皆知了:cookie。但是央视的报导对cookie的介绍并不准确。其中既有夸大的部分,也有更大的风险没有提到。
既然央视提到了网易,我就以网易为例子来说。我以我的网易邮箱登陆了网易主页,通过浏览器工具看到了网易在我的浏览器中留下的Cookie。下图是一部分内容。
Cookie中保留了我所在的城市:bj,区号010。这不是通过我的IP算出来的,因为我访问加了代理。也许是因为我在查看天气时选择了区域。这是很典型的用户数据采集。很多人奇怪为什么Cookie会那么强大,什么都知道呢?原因就是网站在你进行各种输入的时候,把这些信息记录了下来。这个事实的另一面是,如果你上一个网站,却什么也没有输入,那它是不会知道你是男是女,芳龄几许,更不会知道你的门牌号码和银行账号的。比如你上网易的首页,仅仅浏览新闻。
但是,即便如此,网站依然可以记录你查看了那些新闻,来收集关于你的个人信息。比如你经常看体育新闻,或者喜欢浏览美容频道。通过对你的上网行为模式的分析,可以相当准确的猜测出你的性别,年龄,甚至职业和收入。这些数据就是网站用来卖给广告商,以实现“精准投放”的依据。
今天虎嗅
有一篇重量级的文章
,大声的告诉”贱人”,分析用户上网行为特征是业内通行的,而且这个技术为”贱人”创造了价值,劝告”贱人”不要矫情了。
那我们来看看网易是不是仅仅记录了用户上网行为。看cm_newmsg那条Cookie,它记录了我的邮箱用户名:tester(这是我涂改过的),而且记录了我一共有2139封邮件其中472封未读。这完全是我的个人隐私。网易的广告商有什么权利知道我还有472封信件没有读?
这还不是Cookie被泄露最可怕的事情。在上图中,有一个后面带着“HttpOnly”字样的东西,它叫NTES_SESS。这是一个Session Cookie。所谓的Session Cookie,就是网站用以唯一标识用户身份的“密码”。之所以用户输入一次用户名密码后就不需要每次打开新页面都输入,就是因为网站靠这个Session Cookie识别出来该用户已经登陆过了。这也是网易大声告诉”贱人”们的事实之一。
没错,这其实是Cookie最最重要的用途。但它也是最最危险的。因为别人一旦知道了你的Session Cookie,他就可以伪装是你!你可以不介意饭馆的老板把你爱吃土豆的事情告诉其他的餐馆老板,但你能够接受有人以你的名义去饭馆吃饭,然后把帐算到你的头上吗?
获得了Session Cookie,就得到了网站的完全信任。他可以查看你的邮件,以你的身份发微博,甚至以你的身份消费。
因为这个Session Cookie如此重要,网易在这里加了两把锁:第一,这个session很长,足足有161个字符。第二,则是加了HttpOnly的标志。这个标志可以禁止那些广告商嵌入的代码获得这个Cookie。也就是说,其他的Cookie可以拿走,这个Cookie不可以。
但这样就够了吗?HttpOnly这个标志,从诞生之日起,就是黑客的眼中钉。不断的有浏览器的漏洞被发现,可以绕过HttpOnly。直到2012年6月,还有人发现新的Java中的漏洞,可以无视HttpOnly,盗取Session Cookie。对于如此要命的Session Cookie,再加几把锁都不够。
作为拥有数以亿计用户的网站,将Cookie数据卖给他人,是将亿万用户的安全置于不顾。也许在某些人眼中,这些用户不过是些”贱人”,理当如此?
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
频道:
国际热点
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
贱人就是矫情——当打假成为一门生意
阑夕
12:58
你的个人隐私是如何裸奔被贱卖的?
三节课
今天不矫情,明天成贱人
罗超频道
顺着Cookie话题,这样设置InPrivate筛选能保护隐私
China001
Cookie时代即将终结!互联网广告行业最担心的事情终于来了
潘乱
推特“杀手” Damus 在中国:拉群、卖片、英语角
刺猬公社
“跳转到App中阅读更多”,成为了移动互联网的路障
AppSo
3天700万下载量,欧美00后“讲真”上头
硅星人
这项20多年的技术终结了,你看到的广告会变少吗?
差评君
手机是如何出卖你的
半佛仙人
07:48
#数码最前线
7分钟被盗刷1.6万元,iPhone存在严重漏洞?
科技狐
个人隐私裸奔
凤凰WEEKLY财经
09:56
#高新技术流
为什么会有扫码登录这种反人类设计?
动动枪DongDongGun
12:54
#数码最前线
你被“偷窥”了?如何保障手机信息安全?
小白测评
07:05
#内幕大揭秘
315后,我们刨了刨高速下载器的“祖坟”
暴富研究局
08:17
你的隐私,是怎么被手机扒光的
张博文
09:31
#高新技术流
浏览器中的清流,颠覆你对夸克的认知
苏星河牛通
05:44
#盘一盘APP
为啥你聊啥,APP就能给你推啥?
大场人物
07:08
#盘一盘APP
WiFi万能钥匙,为何会落寞成今天这样?
科技狐
09:00
#盘一盘APP
当我尝试白嫖百度网盘…
苏星河牛通
大 家 都 在 搜
深圳
惠州
双机场城市
机场
城市经济
云南
广汽集团
广东
电影
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付