-
-
[转帖]一块曲奇(Cookie)引发的安全反思
-
发表于: 2013-3-29 10:26 1916
-
一块曲奇(Cookie)引发的安全反思
2013-03-22 14:05 佚名 cnBeta
http://netsecurity.51cto.com/art/201303/386165.htm
3·15才过去,就被沸沸扬扬铺天盖地的新闻刷爆了屏幕——什么Cookies,什么广告,就这样一点一点蔓延开来,就连八点二十发的内幕都一样淹没下去。一句玩笑说:饼干要及时清理,不然广告就会来找你了!其实,在Windows 8的IE 10中,已经默认开启了DNT(Do Not Track)功能,也是因为如此,微软曾被推上了风口浪尖——DNT是否开启时用户的选择,微软有什么权利去默认设置?——不难想象,提出这样一个说法的,正是深受其害的广告商。
http://images.51cto.com/files/uploadimg/20130322/1414070.png
Figure 1 Do Not Track Setting in IE 10
何为DNT?这一名词于2007年即被提出,又在Windows 8发布时在此成为大家关注的焦点,更是在今年的考研英语中出现,实在是风光了一把。所谓的DNT,直译也就是“不追踪”,在用户向服务器发送请求时添加一个“帽子”Header。若Header的值为1,则表示用户不希望被网站追踪;若为0,则表示用户允许网站对自己的访问进行追踪;若为Null(空),则表示用户未对该选项进行设置。
除了Windows 8的IE 10默认开启DNT以外,主流的浏览器如Firefox,Chrome,IE 9,Safari等均带有DNT功能,但是需要用户手动开启。用户可以通过访问网站http://www.donottrack.us/来确定自己的浏览器是否支持DNT及该功能是否开启。
http://images.51cto.com/files/uploadimg/20130322/1414071.png
Figure 2 Do Not Track Website
如果简单的认为,只要告诉网站自己不希望被追踪,那就可以大摇大摆的在网络中横行,那就大错特错了。DNT只针对已经同意该计划的网站生效,也就是说,仍有大量的网站会肆无忌惮的读取用户的隐私,用于市场调研及产品研发等途径。
http://images.51cto.com/files/uploadimg/20130322/1414072.png
Figure 3 Ads Tracked Search History
在3·15晚会中曝光的Cookies又是什么呢?这里的Cookies可不是曲奇饼干,而是浏览器用于辨别身份或保存密码而保存在本地的小文件,里面包含了大量的用户信息及浏览习惯。为了以后使用方便,其经常不会自行删除。
一些“聪明”的网站,可以通过读取用户的Cookies来了解到用户的喜好,进而在用户浏览网页时向不同的用户发送不同的广告,使之更有针对性。此外,仍有一些网站会将一些小的文件写入Cookies以获得用户的资料,网络信标(Web Beacon,又称作网络臭虫)就是经典的案例。
Cookies 默认不会自动自行删除的,对于一些懒人,我们可以通过修改Internet区域安全级别为“高”直接阻止所有网站的Cookies,或者在“高级”下面的 “替代自动Cookie处理”对来自不同类别网站的Cookies进行分类讨论以决定是否使用Cookies。
http://images.51cto.com/files/uploadimg/20130322/1414073.png
Figure 4 Block Cookies
虽然广告有些讨厌,但是却不能因噎废食完全禁用Cookies。除了禁止Cookies以外,我们还可以通过手动删除的方式将自己的信息删除掉。在”Internet选项”的”常规”选项卡下面删除掉浏览历史及Cookies。对于懒人来说,更可以将”退出时删除浏览历史记录”选项进行勾选,这样每次退出时都会自动删除掉浏览记录。
http://images.51cto.com/files/uploadimg/20130322/1414074.png
Figure 5 Delete Cookies
除了以上提到的这些,无痕浏览(InPrivate Browsing)也是一种保证本地隐私的一种方法。在IE中同时按下Ctrl + Shift + P或是在“工具”菜单下选择”InPrivate浏览”即可开启全新的浏览窗口,当关闭该窗口后,浏览的内容将不会在本地进行保存。
http://images.51cto.com/files/uploadimg/20130322/1414075.png
Figure 6 InPrivate Browsing
随着信息时代的发展,越来越多的人依赖于网络,因此网络安全与隐私显得尤为重要。本文中提到的方法均为针对本地隐私的一些设置,当消息或请求由本地发出后并不能保证其不被劫持或是欺骗,所以即便进行了如上设置也并非百分百的安全。
但是,只有先于本地做好防护措施,让更多的人注意到用户对隐私的重视,才能引起更多的关注,才会获得更多的支持与保护。
2013-03-22 14:05 佚名 cnBeta
http://netsecurity.51cto.com/art/201303/386165.htm
3·15才过去,就被沸沸扬扬铺天盖地的新闻刷爆了屏幕——什么Cookies,什么广告,就这样一点一点蔓延开来,就连八点二十发的内幕都一样淹没下去。一句玩笑说:饼干要及时清理,不然广告就会来找你了!其实,在Windows 8的IE 10中,已经默认开启了DNT(Do Not Track)功能,也是因为如此,微软曾被推上了风口浪尖——DNT是否开启时用户的选择,微软有什么权利去默认设置?——不难想象,提出这样一个说法的,正是深受其害的广告商。
http://images.51cto.com/files/uploadimg/20130322/1414070.png
Figure 1 Do Not Track Setting in IE 10
何为DNT?这一名词于2007年即被提出,又在Windows 8发布时在此成为大家关注的焦点,更是在今年的考研英语中出现,实在是风光了一把。所谓的DNT,直译也就是“不追踪”,在用户向服务器发送请求时添加一个“帽子”Header。若Header的值为1,则表示用户不希望被网站追踪;若为0,则表示用户允许网站对自己的访问进行追踪;若为Null(空),则表示用户未对该选项进行设置。
除了Windows 8的IE 10默认开启DNT以外,主流的浏览器如Firefox,Chrome,IE 9,Safari等均带有DNT功能,但是需要用户手动开启。用户可以通过访问网站http://www.donottrack.us/来确定自己的浏览器是否支持DNT及该功能是否开启。
http://images.51cto.com/files/uploadimg/20130322/1414071.png
Figure 2 Do Not Track Website
如果简单的认为,只要告诉网站自己不希望被追踪,那就可以大摇大摆的在网络中横行,那就大错特错了。DNT只针对已经同意该计划的网站生效,也就是说,仍有大量的网站会肆无忌惮的读取用户的隐私,用于市场调研及产品研发等途径。
http://images.51cto.com/files/uploadimg/20130322/1414072.png
Figure 3 Ads Tracked Search History
在3·15晚会中曝光的Cookies又是什么呢?这里的Cookies可不是曲奇饼干,而是浏览器用于辨别身份或保存密码而保存在本地的小文件,里面包含了大量的用户信息及浏览习惯。为了以后使用方便,其经常不会自行删除。
一些“聪明”的网站,可以通过读取用户的Cookies来了解到用户的喜好,进而在用户浏览网页时向不同的用户发送不同的广告,使之更有针对性。此外,仍有一些网站会将一些小的文件写入Cookies以获得用户的资料,网络信标(Web Beacon,又称作网络臭虫)就是经典的案例。
Cookies 默认不会自动自行删除的,对于一些懒人,我们可以通过修改Internet区域安全级别为“高”直接阻止所有网站的Cookies,或者在“高级”下面的 “替代自动Cookie处理”对来自不同类别网站的Cookies进行分类讨论以决定是否使用Cookies。
http://images.51cto.com/files/uploadimg/20130322/1414073.png
Figure 4 Block Cookies
虽然广告有些讨厌,但是却不能因噎废食完全禁用Cookies。除了禁止Cookies以外,我们还可以通过手动删除的方式将自己的信息删除掉。在”Internet选项”的”常规”选项卡下面删除掉浏览历史及Cookies。对于懒人来说,更可以将”退出时删除浏览历史记录”选项进行勾选,这样每次退出时都会自动删除掉浏览记录。
http://images.51cto.com/files/uploadimg/20130322/1414074.png
Figure 5 Delete Cookies
除了以上提到的这些,无痕浏览(InPrivate Browsing)也是一种保证本地隐私的一种方法。在IE中同时按下Ctrl + Shift + P或是在“工具”菜单下选择”InPrivate浏览”即可开启全新的浏览窗口,当关闭该窗口后,浏览的内容将不会在本地进行保存。
http://images.51cto.com/files/uploadimg/20130322/1414075.png
Figure 6 InPrivate Browsing
随着信息时代的发展,越来越多的人依赖于网络,因此网络安全与隐私显得尤为重要。本文中提到的方法均为针对本地隐私的一些设置,当消息或请求由本地发出后并不能保证其不被劫持或是欺骗,所以即便进行了如上设置也并非百分百的安全。
但是,只有先于本地做好防护措施,让更多的人注意到用户对隐私的重视,才能引起更多的关注,才会获得更多的支持与保护。
赞赏
他的文章
- [转帖]惠普助莫斯科铁路提高交通质量及安全性 2082
- [转帖]规范化安全数据是创建风险指标的关键 2054
- [转帖]欧唯特携IBM带来企业信息安全解决方案 2076
- [转帖]制定有效提升员工信息安全意识的计划 2037
- [转帖]启明星辰专访:数据库安全审计趋势解读 2127
看原图
赞赏
雪币:
留言: