找回密码
 注册
搜索
热搜: 活动 交友
查看: 1098|回复: 1

你的隐私安全吗:Cookie到底是什么?(图)

[复制链接]

8588

主题

1万

回帖

13万

积分

论坛元老

热心会员

积分
134950
发表于 2013-3-20 06:41:46 | 显示全部楼层 |阅读模式
消息来源:创事记

 杨永林(新浪微博前端技术专家) 

  这两天由于315的原因,Cookie这东西突然特别火,据说很多网友都忙着删掉自己浏览器中的Cookie。一开始我还觉得挺无聊的,央视不懂乱说什么啊。直到前两天,家里一个亲戚跟我说:“原来我们上网干什么你们都知道啊,还看我们的邮件,这不一点隐私都没有了嘛。太可怕了。”

  我才意识到这个问题误导得太严重了,做为一个多年从事互联网Web开发工作的工程师,我觉得我应该说点什么。下面我来给大家介绍一下Cookie,看看你的Cookie安全吗?

  1、Cookie是什么?

  央视这一点解释的还算可以,它是一个数据包,每次访问网站的时候浏览器都会将该网站的Cookie发回给网站服务器,同时网站也可以随意更改你机器上对应的Cookie。但有一个很重要的信息视频中没有提到:Cookie不是只有一个,而是一个网站一个,所以视频中把它比喻成网络身份证的说法是不准确的。它不是你在网络中的唯一标识,只是你在某个网站的唯一标识。

  2、Cookie中都有什么东西?

  这个取决于网站自身,视频中说网站会存储一些重要的用户信息(什么用户名、密码、浏览记录、IP地址什么的)到Cookie里。事实上:

  普通网站都不会存重要的信息,它们仅仅存一个你的登陆状态,也就是你拿用户名密码换取的令牌,还有就是网站针对你的判定(比如你在这个网站上的唯一标识是什么,你访问的是我们的哪台服务器,你使用的是我们的哪个版本的产品),这些信息你都不需要关心,它和你的隐私一点关系都没有。

  文艺一点的网站会将这些信息进行加密,目的是防止别人伪造这些信息欺骗网站。

  央视描述的网站(在Cookie里存用户名、密码的,也许是央视网)的做法在互联网上是极其极其少见的,可能只有外行或者刚学网络开发的学生会这么做,这种网站是极其不安全的,你的信息很容易就泄漏了,所以还是少去访问。

  3、Cookie会被人窃取吗?

  视频中已经说了,Cookie只能被放置它的网站读取。这一点是浏览器保证的,这也是浏览器的一个重要的安全机制。如果你觉得你的浏览器不能保证这一点,那就换个靠谱的,比如IE9啊,Chrome啊,Firefox啊都是相当不错的。这么说Cookie是安全的了?也不一定,Cookie在传输过程中和网站方都有可能被窃取。我举个不太恰当的例子:

  我们可以把用户访问网站的过程比做你给网站写一封信,信的内容可以比做你提交给网站的一些信息(比如你的性别啊,年龄啊),Cookie可以比做信封中的寄信人,标识你是谁。那么在整个寄信过程中,邮电局是完全有机会窃取你的信封的,而网站也可以将你的信封卖给别人。但是!!!这两方其实已经拥有了你这封信的内容了,你觉得他们有必要偷你的信封吗?

  事实上,Cookie的盗用一般在你使用了不安全的网络(比如公共场所的WiFi),或者网站出现安全漏洞的情况下才会放生,前者发生的概率就比较低,而后者对网站造成的影响远比Cookie被盗这点小事大很多,在互联网公司是严重的故障,一经发现很快就会堵上的。

  4、那他们说的什么掌握几亿Cookie啊,又网站布码啊什么的,听起来好厉害的样子,这又是怎么回事?

  通过上面我们已经知道了,Cookie被窃取是一个比较小概率的事件,不可能达到几亿这个级别。视频中宣称的各种华丽的数据其实是销售人员在忽悠广告主,将一个很简单的实用技术术语说得很牛逼的样子。真相是这样的:

  我们上文提到“每次访问网站的时候浏览器都会将该网站的Cookie发会给网站服务器”。那么如果我网站里有一张图片,浏览器访问这张图片的时候会发哪个Cookie呢?答案是提供图片服务网站的Cookie。比如某网站S的页面上有一张来自某营销网站B的图片,那么它们的关系如下:

  
  你在访问网站S的时候,你同时也以B用户的身份访问了B网站。你说“我没在B网站注册啊,怎么会是B网站用户”。嘿嘿,不用你注册,因为也不需要你知道,他是自动分配一个帐户给你的,如果像S这类的网站多了,B网站想在不同网站之间都能定位到你,怎么办?把分配给你的帐户存在B的Cookie里就行了啊。这就是它们所谓的几亿的Cookie。至于布码,其实就是访问那张图片的代码,甚至可能就是你在页面中看到的广告图。你可能注意到B网站在拿到 Cookie的同时,还获取到了一些信息,这些信息是否涉及到隐私就看网站S的节操了。一般大网站只会把一些简单的页面信息给B,比如看了什么视频啊,新闻啊等等。其目的也是让广告主投放的广告更精准。至于还有说得到用户名密码什么的,我只能说,兄弟你被钓鱼了,网站是不可能贩卖自已用户的密码的,这么做没有意义,估计你是访问了什么乱七八糟的网站,骗你填了什么用户名密码,然后被信息卖掉了,这和Cookie毛关系都没有。

  5、网站这么做算侵犯隐私吗?

  这个不好说,比如你觉得你关注什么新闻,买了什么玩具,看了什么视频(爱情动作片略过)可能不算隐私。但你可能不希望别人知道你买过什么药,看过介绍治疗某些病的网页,这些对于很多人来说是算做隐私的。这是访问跟踪技术最有争议的一点。

  6、我有洁癖,就不想被跟踪,那怎么办?

  浏览器都有一个禁止第三方Cookie的功能,你只要打开他就可以不被跟踪了,但是!!!有可能一些网站的功能就无法使用了。所以请慎重。

  7、那么我如何保护自己的隐私不泄漏呢?

  这个话题太大了,我说一点原则吧:

  不要在你不清楚来源的网页上填写任何个人信息,比如视频里说的知道你的年龄、性别、收入等等,其实就是你在不同网站填写的信息被他们获取后整合得到的,因为市面上还飘着一些没节操的公司贩卖的个人信息,他们只要以对比数据就可以跟你对上号。

  敏感信息任何网站都不要填写,大网站虽然不会主动贩卖你的信息,但系统可能会存在漏洞,泄漏出去一些个人信息,例子挺多的,我就不点名了。
U6349P2DT20130318193508.png

1万

主题

1万

回帖

25万

积分

管理员

热心会员

积分
256412
发表于 2013-3-20 10:30:03 | 显示全部楼层

央视315闹剧:当打假成为一门生意

“动机论”永远不能成为论断一件是非的“铁证”,但它始终能够提醒我们,很多道德洁癖和正义卫士的背后,有着更不道德、绝无正义的目的,为了实现这个目的,道德和正义也能够沆瀣一气,不择手段。

    当“Cookie跟踪泄漏隐私”被央视财经3·15晚会当作一个惊世骇俗的侵权行为“震撼揭露”时,相信不止我一个人感到荒谬和可笑。作为世界上最神奇的一个国度,中国在各行各业有着比世界许多国家都要低的法律标准,而在此背景下,央视竟然间接性的提议中国采用一个全球最高的洁净协议,并且声称所有违背者都是耍流氓。

    而且很多可能压根都不知道Cookie是什么东西、它有什么价值的网民,也跟风大呼“网络让人没有隐私可言”。

    你经常光顾一家饭馆,老板和你相熟,知道了你爱吃辣,有时在街上见到了也会打招呼说常来啊,下次你来的时候主动推荐馆子里有新的川菜要不要尝试一下,还给你折扣,你觉得倍儿有面子;你访问互联网,在浏览器的协议中共享Cookie给被访问的网站,后者学着控制向你推送的广告,你是一个爷们,就不会再给你看到卫生巾弹力贴身的信息,让信息更加懂你,你愤怒的说这是在猥亵你。套用标题上的那句词儿:贱人就是矫情,甭看别人,就是在说你呐。

    Cookie是一个用于身份识别的协议数据,网站依靠Cookie来界定用户的身份,的确,严格意义上来说,Cookie的确属于隐私的一部分,所以在它1993年被网景公司创造出来的时候,就规定了Cookie的源文件只能保存在用户本地,网站只有识别、记录和使用的权利,而没有更改的渠道。

    如果没有Cookie,你作为“用户”的身份是不存在的,因为你的隐私一丝不透的结果就是没有人能够认识你,你登陆微博,每刷新一次,你就会被提示重新登陆,因为微博网站在没有跟踪Cookie的情况下知道第二次访问的你究竟还是不是第一次访问的你,所以你的网页必须不停登陆、刷新、登陆、刷新……

    更重要的是,Cookie是改善信息时代的一种技术,它是绝大多数互联网企业用来改进服务、记住用户选择的工具,Cookie当然有被滥用的风险,但这种风险就等同于世界上任何一家网站都有可能被黑客攻破挂上木马,是一种泛质疑,同时我们也可以看到有些网站在做信息分类或广告呈现时能够放置一个“不再显示”的按钮,这亦是通过Cookie的记录功能实现的体验优化。

    没有任何人会“喜爱”广告,但是如果生产无法得到回报,互联网的分享精神就是一句空谈之辞。广告是当下最具价值的商业模式,如果它必须存在,那么它的改良方向就是让其信息能够越来越匹配用户的需求,而不是站在矫枉过正的敏感神经上否定一切非完美的产物。

    世界上最大的互联网企业,Google、Amazon、Facebook都得益于对用户行为的收集和分析,才能拿出最出色的商业体验,这也是互联网颠覆传统媒体“广告主知道有一半的广告费用被浪费掉了,但它不知道浪费掉的是哪一半”的核心竞争力,一款近视眼镜产品在电视上投放广告,它要为所有不近视的观众买单,但是在互联网上,对于Cookie反馈数据的定向投放,它能够尽可能的避免这种浪费,而没有需求的用户也能够避免受到干扰,而这个过程所产生,就是互联网带来的被称之为“价值”的东西。

    本次3·15晚会最大的广告投放者——周鸿祎的360公司,适时的推广其360浏览器“禁止跟踪”的功能,继续永远政治正确的“和用户站在一边”,仿佛读取用户数据是天大的恶行。我在这里找到了周鸿祎在2012年UPA中国第九届用户体验年会上讲的一段话:

    “网上有很多人用盗版的QVOD,有人重新打包之后,装一些病毒和木马的播放器,来播放爱情动作片,这个360弹出提示,不能播这个东西,有病毒,他们听360的吗?没有,把360关掉,如果360再弹,就把360彻底的卸掉,看完了之后再把360装上,这种需求叫强需求。”

    请问,你怎么知道用户没有听360的、把360关掉的这个过程,当时你在用户背后看着吗?后来,360安全卫士基于对于用户这些行为模式的观察和分析,推出了一个很受欢迎的“看片保镖”的功能,用户可以在一个临时的虚拟机环境下观看影片,同时与风险隔离开来。我当时写过一篇文章《由360谈谈用户体验和用户感知》,认为这是一个相当高明的改进,正是因为有了对于用户行为的了解,企业才有机会和方向对产品进行修缮和推进,使其更加符合用户的利益,这绝非是“不尊重用户的隐私”。

    美国前百货公司巨头企业家马歇尔·菲尔德那句“顾客就是上帝”被流传到中国之后,含义基本上被曲解为“顾客永远是对的”。在上世纪九十年代中美空乘行业交流上,被问到如果遭遇乘客骚扰该如何应对时,一致选择“忍耐”的中国空姐惊讶的发现美国空姐的选择竟然是“抽他一耳光,然后把他撵下飞机让警察处理”,仿佛遭受晴天霹雳,进而在中国的商学院和媒体上引起广泛讨论,成为笑谈。

    用户理应受到尊敬,但用户绝对不会每次都是对的。历年3·15晚会都是一个放大镜,它让我们知道有多少见不得人的交易,就有多少无知而矫情的用户,一个已经几乎不存在安全食品、甚至连奶粉都要像蝗虫一样出国去抢的国家,会在3·15晚会上集中火力曝光麦当劳的一家门店没有遵守其企业规章制度在超过规定的90分钟之后仍然销售甜品派;当空气尽是毒物、江上飘满死猪的时候,它还可以声色激昂的数落进口食品超过保质期,当它收买微博名人大号为其站台吆喝失尽节操的时候,竟然在意用户的隐私是否会被窃取……

    最令人悲哀的是,这样一档用于敛财的节目,能够影响力年复一年的增大,正是得以于观众的支持,在“打假”、“维权”的猎猎大旗之下,积攒了一年的鸡血被集中释放,摇旗呐喊的很多用户甚至可怜到根本没有脑子去思考,为什么你们就像牲口一样任人摆布,每年只被允许在这一天跟着央视媒体的目标去开展口诛笔伐,而在其余的364天,你们的任何诉求都无人理会?

    因为你们都是贱人,而贱人就是矫情。你们觉得留几手风趣幽默,费劲心思在取悦你们,现在傻逼了吧?你们觉得叫兽小星是草根,是自己身边的意见领袖,现在傻逼了吧?你们觉得郑渊洁是公知,忧国忧民良知爆棚,现在傻逼了吧?人家可是一听到指令,就可以抛掉数千万粉丝的尊严,毫无原则的去帮着“指哪打哪”,他们根本不在乎透支自己的信誉,只要筹码足够,立刻就能华丽转身。

    我认识一个贱人,他在京东买了一部手机,拆箱插卡后发现是联通的定制机不支持移动的卡,要求退货,京东那边表示为难,他去人家论坛大闹,获得许多其他的贱人支持,最后京东接受退货。

    过了一段时间,他又在京东买了台笔记本电脑,开机发现电脑被人用过,再次到网上大闹,骂京东无良卖别人用过的产品给用户,也赢得了一片贱人的叫好声。我问他,那你既要求商家无条件退换货,又要求每一个消费者买到的都是全新的商品,那么那些被退回去的没有故障问题的商品,京东是不是都该就地销毁呢?这个贱人沉默的半晌,回答说,你这个人真是奇怪,我们都是消费者,你不为消费者说话,怎么反倒为奸商说话?这个贱人现在是某IT论坛的版主,深受用户拥戴,他以身作则的为用户撑腰,鼓励用户在论坛发帖揭露网购的不满,私底下他再拿着被推出高热度的帖子去找商家,100块钱删帖,删了之后他再发布一条声泪俱下的长帖,说兄弟我对不住你我都对网站管理员说只要删你帖我就辞掉版主了他们还是把帖子给删了,帖子底下也是抱团哭成一片贱人们一起说X版你别走你走了还有谁为我们出头呢……

    有些话说透了,真的是没意思。我认识太多企业和公关,鱼龙混杂,有踏实做产品和服务的,也有确实操蛋的黑心企业,但是3·15晚会——甚至是3·15这个形式远大于内容的节日,对于扶优除劣都没有任何贡献,大家每年想的都只是一个,那就是别在3·15之前被人找上门来,否则就会不得不抠出一大笔预算去“危机公关”,换来自己的不出镜,这些企业往往是真有问题的。反倒是一些有气节、觉得问题不大不愿出钱息事宁人的企业,会被晾上台面承受风雨。这就是为什么每次央视3·15晚会都看似击中目标,但永远是不痛不痒的原因。

    只要3·15始终是一门生意,那么打假永远都会是假打,打人的装作义正辞严绝不姑息,被打的承诺道歉整改严肃处理,漏网的掰着手指盘算今年该如何将交保护费的成本转嫁的顾客那里,这个流程逐年上演,一百年也不会有所不同,而充当看客的贱人们,也永远活在一个的自我感觉良好的世界里,你跟着身边千万人一起大声喊出皇帝其实没有穿新意,以为从此可以翻身作主,但其实真正的皇帝在宫殿里有着你们不曾想象的价值连城的奢华新衣,那是你们在浑然不知的情况下一起出钱帮他编织而成的。


                                                         来源: 网易网
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|阿波罗网

GMT+8, 2024-11-25 00:22

快速回复 返回顶部 返回列表