正确的提示信息
扫码打开虎嗅APP
从思考到创造
打开APP
资讯
视频
车与出行
年轻一代
十亿消费者
前沿科技
财经
娱乐淘金
医疗健康
文化教育
出海
金融地产
企业服务
创业维艰
社交通讯
全球热点
生活腔调
榜单
虎嗅视界
24小时
活动
妙投APP
虎嗅智库
登录
极速注册
取消
搜索历史
删除
完成
全部删除
数码
互联网
数码
互联网
热搜词
抖音
新中产
长安汽车
果咖
市场营销
水果
酒吧
新加坡
早餐
账号或密码错误
2013-03-16 22:22
为什么Cookie泄露对“贱人”来说是要命的?
八卦之王
央视的3.15晚会让一个平时只有Web开发者才知道的术语变得人人皆知了:cookie。但是央视的报导对cookie的介绍并不准确。其中既有夸大的部分,也有更大的风险没有提到。
既然央视提到了网易,我就以网易为例子来说。我以我的网易邮箱登陆了网易主页,通过浏览器工具看到了网易在我的浏览器中留下的Cookie。下图是一部分内容。
Cookie中保留了我所在的城市:bj,区号010。这不是通过我的IP算出来的,因为我访问加了代理。也许是因为我在查看天气时选择了区域。这是很典型的用户数据采集。很多人奇怪为什么Cookie会那么强大,什么都知道呢?原因就是网站在你进行各种输入的时候,把这些信息记录了下来。这个事实的另一面是,如果你上一个网站,却什么也没有输入,那它是不会知道你是男是女,芳龄几许,更不会知道你的门牌号码和银行账号的。比如你上网易的首页,仅仅浏览新闻。
但是,即便如此,网站依然可以记录你查看了那些新闻,来收集关于你的个人信息。比如你经常看体育新闻,或者喜欢浏览美容频道。通过对你的上网行为模式的分析,可以相当准确的猜测出你的性别,年龄,甚至职业和收入。这些数据就是网站用来卖给广告商,以实现“精准投放”的依据。
今天虎嗅
有一篇重量级的文章
,大声的告诉”贱人”,分析用户上网行为特征是业内通行的,而且这个技术为”贱人”创造了价值,劝告”贱人”不要矫情了。
那我们来看看网易是不是仅仅记录了用户上网行为。看cm_newmsg那条Cookie,它记录了我的邮箱用户名:tester(这是我涂改过的),而且记录了我一共有2139封邮件其中472封未读。这完全是我的个人隐私。网易的广告商有什么权利知道我还有472封信件没有读?
这还不是Cookie被泄露最可怕的事情。在上图中,有一个后面带着“HttpOnly”字样的东西,它叫NTES_SESS。这是一个Session Cookie。所谓的Session Cookie,就是网站用以唯一标识用户身份的“密码”。之所以用户输入一次用户名密码后就不需要每次打开新页面都输入,就是因为网站靠这个Session Cookie识别出来该用户已经登陆过了。这也是网易大声告诉”贱人”们的事实之一。
没错,这其实是Cookie最最重要的用途。但它也是最最危险的。因为别人一旦知道了你的Session Cookie,他就可以伪装是你!你可以不介意饭馆的老板把你爱吃土豆的事情告诉其他的餐馆老板,但你能够接受有人以你的名义去饭馆吃饭,然后把帐算到你的头上吗?
获得了Session Cookie,就得到了网站的完全信任。他可以查看你的邮件,以你的身份发微博,甚至以你的身份消费。
因为这个Session Cookie如此重要,网易在这里加了两把锁:第一,这个session很长,足足有161个字符。第二,则是加了HttpOnly的标志。这个标志可以禁止那些广告商嵌入的代码获得这个Cookie。也就是说,其他的Cookie可以拿走,这个Cookie不可以。
但这样就够了吗?HttpOnly这个标志,从诞生之日起,就是黑客的眼中钉。不断的有浏览器的漏洞被发现,可以绕过HttpOnly。直到2012年6月,还有人发现新的Java中的漏洞,可以无视HttpOnly,盗取Session Cookie。对于如此要命的Session Cookie,再加几把锁都不够。
作为拥有数以亿计用户的网站,将Cookie数据卖给他人,是将亿万用户的安全置于不顾。也许在某些人眼中,这些用户不过是些”贱人”,理当如此?
本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系 hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
打开虎嗅APP,查看全文
支持一下
赞赏
0人已赞赏
分享至:
0
大 家 都 在 看
贱人就是矫情——当打假成为一门生意
阑夕
12:58
你的个人隐私是如何裸奔被贱卖的?
三节课
今天不矫情,明天成贱人
罗超Pro
顺着Cookie话题,这样设置InPrivate筛选能保护隐私
China001
Cookie时代即将终结!互联网广告行业最担心的事情终于来了
潘乱
推特“杀手” Damus 在中国:拉群、卖片、英语角
刺猬公社
“跳转到App中阅读更多”,成为了移动互联网的路障
AppSo
3天700万下载量,欧美00后“讲真”上头
硅星人
这项20多年的技术终结了,你看到的广告会变少吗?
差评君
手机是如何出卖你的
半佛仙人
07:48
#数码最前线
7分钟被盗刷1.6万元,iPhone存在严重漏洞?
科技狐
个人隐私裸奔
凤凰WEEKLY财经
09:56
#高新技术流
为什么会有扫码登录这种反人类设计?
动动枪DongDongGun
12:54
#数码最前线
你被“偷窥”了?如何保障手机信息安全?
小白测评
07:05
#内幕大揭秘
315后,我们刨了刨高速下载器的“祖坟”
暴富研究局
08:17
你的隐私,是怎么被手机扒光的
张博文
09:31
#高新技术流
浏览器中的清流,颠覆你对夸克的认知
苏星河牛通
05:44
#盘一盘APP
为啥你聊啥,APP就能给你推啥?
大场人物
07:08
#盘一盘APP
WiFi万能钥匙,为何会落寞成今天这样?
科技狐
09:00
#盘一盘APP
当我尝试白嫖百度网盘…
苏星河牛通
大 家 都 在 搜
抖音
新中产
长安汽车
果咖
市场营销
水果
酒吧
新加坡
早餐
APP内打开
好的内容,值得赞赏
您的赞赏金额会直接进入作者的虎嗅账号
自定义
支付:
元
匿名赞赏
支付