央视315后隐私安全受关注 工程师揭秘Cookie 工程师, Cookie, 开发

520503

这两天由于315的原因，Cookie这东西突然特别火，据说很多网友都忙着删掉自己浏览器中的Cookie。一开始我还觉得挺无聊的，央视不懂乱说什么啊。直到前两天，家里一个亲戚跟我说：“原来我们上网干什么你们都知道啊，还看我们的邮件，这不一点隐私都没有了嘛。太可怕了。”
我才意识到这个问题误导得太严重了，做为一个多年从事互联网Web开发工作的工程师，我觉得我应该说点什么。下面我来给大家介绍一下Cookie，看看你的Cookie安全吗？

1、Cookie是什么？
央视这一点解释的还算可以，它是一个数据包，每次访问网站的时候浏览器都会将该网站的Cookie发回给网站服务器，同时网站也可以随意更改你机器上对应的Cookie。但有一个很重要的信息视频中没有提到：Cookie不是只有一个，而是一个网站一个，所以视频中把它比喻成网络身份证的说法是不准确的。它不是你在网络中的唯一标识，只是你在某个网站的唯一标识。
2、Cookie中都有什么东西？
这个取决于网站自身，视频中说网站会存储一些重要的用户信息（什么用户名、密码、浏览记录、IP地址什么的）到Cookie里。事实上：
普通网站都不会存重要的信息，它们仅仅存一个你的登陆状态，也就是你拿用户名密码换取的令牌，还有就是网站针对你的判定（比如你在这个网站上的唯一标识是什么，你访问的是我们的哪台服务器，你使用的是我们的哪个版本的产品），这些信息你都不需要关心，它和你的隐私一点关系都没有。
文艺一点的网站会将这些信息进行加密，目的是防止别人伪造这些信息欺骗网站。
央视描述的网站（在Cookie里存用户名、密码的，也许是央视网）的做法在互联网上是极其极其少见的，可能只有外行或者刚学网络开发的学生会这么做，这种网站是极其不安全的，你的信息很容易就泄漏了，所以还是少去访问。
3、Cookie会被人窃取吗？
视频中已经说了，Cookie只能被放置它的网站读取。这一点是浏览器保证的，这也是浏览器的一个重要的安全机制。如果你觉得你的浏览器不能保证这一点，那就换个靠谱的，比如IE9啊，Chrome啊，Firefox啊都是相当不错的。这么说Cookie是安全的了？也不一定，Cookie在传输过程中和网站方都有可能被窃取。我举个不太恰当的例子：
我们可以把用户访问网站的过程比做你给网站写一封信，信的内容可以比做你提交给网站的一些信息（比如你的性别啊，年龄啊），Cookie可以比做信封中的寄信人，标识你是谁。那么在整个寄信过程中，邮电局是完全有机会窃取你的信封的，而网站也可以将你的信封卖给别人。但是！！！这两方其实已经拥有了你这封信的内容了，你觉得他们有必要偷你的信封吗？