cookie容易被黑客入侵吗(cookie容易被劫持吗)
本文目录一览:
- 1、cookie的隐私泄漏
- 2、4.Cookie对用户计算机系统会产生伤害么?为什么说Cookie的存在对个人隐私是一种潜在的威胁?
- 3、cookie的脚本攻击
- 4、怎么防止黑客盗取COOKie里面的密码资料
- 5、cookie安全吗?
cookie的隐私泄漏
实际上,Cookie中保存的用户名、密码等个人敏感信息通常经过加密,很难将其反向破解。但这并不意味着绝对安全,黑客可通过木马病毒盗取用户浏览器Cookie,直接通过偷取的Cookie骗取网站信任。可以看出,木马病毒入侵用户电脑是导致用户个人信息泄露的一大元凶。
自1993年Cookie诞生以来,其就拥有专属性原则,即A网站存放在Cookie中的用户信息,B网站是没有权限直接获取的。但是,一些第三方广告联盟的代码使用范围很广。这就造成用户在A网站搜索了一个关键字,用户继续访问B网站,由于B网站也使用了同一家的第三方广告代码,这个代码可以从Cookie中获取用户在A网站的搜索行为,进而展示更精准的推广广告。比如搜索“糖尿病”等关键词,再访问其联盟网站,页面会立刻出现糖尿病治疗广告。如果并未事先告之,经用户同意,此做法有对隐私构成侵犯的嫌疑。这个还处在灰色地带。
因此,跨站Cookie恰恰就是用户隐私泄露的罪魁祸首,所以限制网站使用跨站Cookie,给用户提供禁止跟踪(DNT)功能选项已成为当务之急。据了解,IE、Chrome、360、搜狗等浏览器均可以快速清除用户浏览器网页的Cookie信息。但从整体的隐私安全保护环境来看,安全软件仍然存在着巨大的防护缺口。所以安全软件也可以并且有必要提供定期清理网站Cookie,并监测跨站Cookie使用的功能,保护用户隐私安全。 英国伦敦的一名软件开发者已发现了一串代码,能在浏览器的隐私模式中执行普通会话,这将导致隐私模式的失效。
目前,所有主流浏览器都提供了隐私保护模式。在这种模式下,网站的Cookies无法追踪用户身份。例如,谷歌Chrome浏览器提供了名为“Incognito”的功能,而火狐浏览器则提供了“隐私窗口”功能。
不过,新发现的这一漏洞将导致浏览器隐私模式的失效。例如,当用户使用普通浏览器,在亚马逊网站上购物或浏览Facebook时,用户可能会启动一个隐私窗口,去浏览存在争议内容的博客。如果这一博客使用了与亚马逊同样的广告网络,或是集成了Facebook的“点赞”按钮,那么广告主和Facebook可以知道,用户在访问亚马逊和Facebook的同时也访问了这一争议博客。
对于这一漏洞,用户有一个临时解决办法,但是比较麻烦:用户可以在启动隐私模式之前删除所有Cookies文件,或者使用一个专门的浏览器,完全在隐私模式下进行浏览。讽刺的是,这一漏洞是由于一项旨在加强隐私保护的功能所引起的。
如果用户在浏览器地址栏使用前缀https://,为某些网站的通信加密,那么一些浏览器会对此进行记忆。浏览器会保存一个“超级Cookie”,从而确保当用户下次连接该网站时,浏览器会自动进入https通道。即使用户启用了隐私模式,这一记忆仍会存在。
与此同时,这样的超级Cookie也允许第三方网络程序,例如广告和社交媒体按钮,对用户进行记忆。
发现这一漏洞的独立研究员萨姆·格林哈尔(Sam Greenhelgh)在博客中表示,这种功能还没有被任何公司所使用。不过在这种方式被公开之后,没有任何办法去阻止各家公司这样做。
在线隐私软件公司Abine联合创始人尤金·库兹涅佐夫(Eugene Kuznetsov)认为,这种“超级Cookie”将成为下一代追踪工具。这种工具脱胎于Cookies,但变得更加复杂。目前,用户在浏览过程中总是会存在设备唯一识别码,以及具有唯一性的浏览器指纹,这些痕迹很难被擦除。
由于“超级Cookie”的存在,互联网匿名性变得更加困难。库兹涅佐夫表示:“我们已经看到了关于隐私保护的军备竞赛。追踪互联网用户的愿望就像是寄生虫。你浏览器中的任何内容都在被网站和广告主审视,从而实现更多的追踪。”Mozilla已经在最新版火狐浏览器中对此进行了修复,而谷歌则倾向于使Chrome维持原状。谷歌已经知道了“超级Cookie”带来的问题,但仍选择继续启用Chrome的https记忆功能。在安全性和隐私保护之间,谷歌选择了前者。
微软IE浏览器并不存在这样的问题,因为这款浏览器并未内建https记忆功能。格林哈尔还表示,在iOS设备上,“超级Cookie”带来的问题同样存在。
4.Cookie对用户计算机系统会产生伤害么?为什么说Cookie的存在对个人隐私是一种潜在的威胁?
Cookie不会对系统产生伤害。这个东西会被黑客、病毒木马利用,因为它记录了你上网的信息。
cookie的脚本攻击
尽管cookie没有病毒那么危险,但它仍包含了一些敏感信息:用户名,计算机名,使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去,尤其是当其中还包含有私人信息的时候。
这并非危言耸听,一种名为跨站点脚本攻击(Cross site scripting)可以达到此目的。通常跨站点脚本攻击往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本攻击的可能,在受到跨站点脚本攻击时,脚本指令将会读取当前站点的所有 Cookie 内容(已不存在 Cookie 作用域限制),然后通过某种方式将 Cookie 内容提交到指定的服务器(如:AJAX)。一旦 Cookie 落入攻击者手中,它将会重现其价值。
建议开发人员在向客户端 Cookie 输出敏感的内容时(譬如:该内容能识别用户身份):
1)设置该 Cookie 不能被脚本读取,这样在一定程度上解决上述问题。2)对 Cookie 内容进行加密,在加密前嵌入时间戳,保证每次加密后的密文都不一样(并且可以防止消息重放)。3)客户端请求时,每次或定时更新 Cookie 内容(即:基于第2小条,重新加密)4)每次向 Cookie 写入时间戳,数据库需要记录最后一次时间戳(防止 Cookie 篡改,或重放攻击)。5)客户端提交 Cookie 时,先解密然后校验时间戳,时间戳若小于数据数据库中记录,即意味发生攻击。
基于上述建议,即使 Cookie 被窃取,却因 Cookie 被随机更新,且内容无规律性,攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。
Cookie 窃取:搜集用户cookie并发给攻击者的黑客。攻击者将利用cookie信息通过合法手段进入用户帐户。
Cookie 篡改:利用安全机制,攻击者加入代码从而改写 Cookie 内容,以便持续攻击。
怎么防止黑客盗取COOKie里面的密码资料
你在自己没有中毒的话,他肯定没办法截取cookies了,而且我用过的远程控制软件没有一款可以直接截取到cookies信息。。
一般都是加密的吧,截取到破解也不容易。。谁会去花费那么多精力获取你的信息呢。。。
cookie安全吗?
在正常使用的情况下是安全的。只要不要随便上一些不三不四的网站就可以了。