如何保護(hù)隱私之瀏覽器Cookie的防范

作者：hack520 2013-08-16 17:25:59

從《如何保護(hù)隱私之瀏覽器如何導(dǎo)致隱私泄漏》中我們了解了瀏覽器泄露隱私的幾個(gè)原因，那么具體的該如何保護(hù)隱私呢？本文將從瀏覽器Cookie的防范說起，助你加強(qiáng)隱私防護(hù)。

在文章《如何保護(hù)隱私之關(guān)于軟件和服務(wù)的選擇》主要介紹了選擇"軟件"和"服務(wù)"的一般性原則。從《如何保護(hù)隱私之瀏覽器如何導(dǎo)致隱私泄漏》中我們了解了瀏覽器泄露隱私的幾個(gè)原因，那么具體的該如何保護(hù)隱私呢？本文將從瀏覽器Cookie的防范說起，助你加強(qiáng)隱私防護(hù)。

★什么是"cookie"？

本文所說的"cookie"，指的是瀏覽器相關(guān)的cookie（也叫"HTTP cookie"）。

瀏覽器cookie 的主要功能是：幫助網(wǎng)站保存一些小片段的信息。比如，你曾經(jīng)在自己的瀏覽器上登錄過某個(gè)論壇，下次你再打開論壇的登錄頁面，你會(huì)發(fā)現(xiàn)用戶名已經(jīng)幫你填好了，你只需要輸入口令即可。那么，這個(gè)登錄頁面是如何知道你上次登錄用的賬戶名捏？奧妙就在于：該網(wǎng)站在你的瀏覽器端保存了一個(gè) cookie，里面包含了你上次登錄使用的帳號(hào)名稱。

★Cookie 的技術(shù)實(shí)現(xiàn)

本章節(jié)面向懂技術(shù)的網(wǎng)友。不太懂技術(shù)的讀者，可以略過本節(jié)，直接進(jìn)入下一章節(jié)，以免浪費(fèi)時(shí)間。

◇網(wǎng)站如何設(shè)置cookie（寫操作）

1、當(dāng)你在瀏覽器中點(diǎn)某個(gè)書簽、或者在瀏覽器地址欄輸入某個(gè)網(wǎng)址，瀏覽器會(huì)向?qū)?yīng)的網(wǎng)站發(fā)起一個(gè)HTTP請(qǐng)求（術(shù)語是 HTTP Request）。

2、然后，網(wǎng)站的服務(wù)器收到這個(gè)HTTP請(qǐng)求之后，會(huì)把相應(yīng)的內(nèi)容（比如網(wǎng)頁、圖片、等）發(fā)回給瀏覽器（這稱為HTTP響應(yīng)，術(shù)語是 HTTP Reponse）。

如果網(wǎng)站想設(shè)置cookie，就在發(fā)回的HTTPResponse中，包含一個(gè)設(shè)置cookie的指令。舉例如下：

上述這個(gè)例子中，設(shè)置了一個(gè)cookie。這個(gè)cookie的"名"是user；cookie的"值"是xxxx；cookie綁定的域名是www.example.com

3、瀏覽器在收到這個(gè)指令后，就會(huì)在你的電腦中存儲(chǔ)該cookie的信息。

◇網(wǎng)站如何獲取cookie（讀操作）

假設(shè)過了幾天之后，你再次訪問上述的www.example.com網(wǎng)站（在上次的訪問中，已經(jīng)被設(shè)置過cookie了）。這時(shí)候，瀏覽器發(fā)現(xiàn)該網(wǎng)址已經(jīng)有對(duì)應(yīng)的cookie，就會(huì)把cookie的信息放在HTTP Request中，然后發(fā)送到網(wǎng)站服務(wù)器。具體的指令如下：

網(wǎng)站服務(wù)器拿到這個(gè)HTTPRequest之后，就可以通過上述信息，知道cookie的"名"和"值"。#p#

★Cookie的特點(diǎn)

◇存儲(chǔ)信息量小

cookie在洋文中的意思就是：小甜餅、曲奇餅。這個(gè)單詞其實(shí)已經(jīng)暗示了cookie技術(shù)所能存儲(chǔ)的信息量是比較小滴。

從剛才的技術(shù)實(shí)現(xiàn)機(jī)制可以看出，cookie只能用來存儲(chǔ)純文本信息，而且存儲(chǔ)的內(nèi)容不能太長——因?yàn)镃ookie的讀寫指令受限于HTTPHeader的長度。

但是，cookie的信息量雖小，能耐卻很大哦。請(qǐng)看下面的例子。

舉例

比如某個(gè)網(wǎng)站上有很多網(wǎng)頁，每個(gè)網(wǎng)頁上有很多廣告。該網(wǎng)站想要收集：每一個(gè)訪客點(diǎn)擊了哪些廣告。

由于這些信息量比較大，直接存儲(chǔ)在cookie里可能放不下。所以，網(wǎng)站通常是在cookie中保存一個(gè)唯一的用戶標(biāo)識(shí)。然后把用戶的點(diǎn)擊信息（包括在哪個(gè)時(shí)間點(diǎn)擊哪個(gè)廣告）都存儲(chǔ)在服務(wù)器上。

下次你再訪問該網(wǎng)站，網(wǎng)站先拿到cookie中的用戶標(biāo)識(shí)，因?yàn)檫@個(gè)標(biāo)識(shí)具有唯一性，那么就可以根據(jù)該標(biāo)識(shí)，從網(wǎng)站服務(wù)器上查出該用戶的詳細(xì)信息。

◇綁定到域名和路徑

從上述的實(shí)現(xiàn)機(jī)制可以看出，cookie是跟HTTPRequest對(duì)應(yīng)的網(wǎng)址（域名和路徑）相關(guān)的。

所以，不同域名的網(wǎng)站設(shè)置的cookie是互相獨(dú)立的（隔離的）。這一點(diǎn)由瀏覽器來保證，以確保安全性。

補(bǔ)充一下：cookie綁定的域名可以是小數(shù)點(diǎn)開頭的。舉例如下：

這個(gè)指令設(shè)置的cookie，可以被example.com的所有下級(jí)域名讀取（比如www.example.com或ftp.example.com）。#p#

★Cookie的類型

◇第一方CookieVS第三方Cookie

首先來說說"第一方"和"第三方"Cookie的區(qū)別，因?yàn)檫@跟隱私的關(guān)系比較密切。

要說清楚"第一方Cookie"和"第三方Cookie"的差別，俺來舉個(gè)例子。

舉例

打個(gè)比方，你上新浪去看新聞，并且新浪的網(wǎng)頁上嵌入了阿里巴巴的廣告（假設(shè)新浪的頁面和嵌入的廣告都會(huì)設(shè)置cookie）

那么，當(dāng)你的瀏覽器加載完整個(gè)頁面之后，瀏覽器中就會(huì)同時(shí)存在新浪網(wǎng)站的cookie和阿里巴巴網(wǎng)站的cookie

這時(shí)候，新浪網(wǎng)站的cookie稱為"第一方Cookie"（因?yàn)槟阍L問的就是新浪嘛）

相對(duì)的，阿里巴巴的cookie稱為"第三方Cookie"（因?yàn)槟阍L問的是新浪，阿里巴巴只是不相干的第三方）

◇內(nèi)存型VS文件型

根據(jù)存儲(chǔ)方式的不同，分為兩類：基于內(nèi)存的Cookie和基于文件的Cookie。基于內(nèi)存的cookie，當(dāng)瀏覽器關(guān)閉之后，就消失了；而基于文件的cookie，即使瀏覽器關(guān)閉，依然存在于硬盤上。和隱私問題相關(guān)的cookie，主要是第二類（基于文件的Cookie）。#p#

★Cookie有啥正經(jīng)用途？

今年的315晚會(huì)，央視猛烈抨擊了cookie的隱私問題，搞得好像cookie是洪水猛獸一般。CCAV對(duì)cookie的妖魔化宣傳，典型是用來嚇唬不懂技術(shù)的外行。

其實(shí)捏，cookie是有利有弊的。cookie之所以應(yīng)用這么廣泛，因?yàn)樗旧泶_實(shí)是很有用的。請(qǐng)看下面的幾個(gè)例子。

◇舉例1——自動(dòng)登錄

目前很多基于Web的郵箱，都有自動(dòng)登錄功能。也就是說，你第一次打開郵箱頁面的時(shí)候，需要輸入用戶名和口令；過幾天之后再來打開郵箱網(wǎng)頁，就不需要再次輸入用戶名和口令了（比如Gmail和Hotmail就是這樣的）。

為啥郵箱可以做到自動(dòng)登錄，就是因?yàn)猷]箱的網(wǎng)站在你的瀏覽器中保存了cookie，通過cookie中記錄的信息來表明你是已登錄用戶。

◇舉例2——提供個(gè)性化界面

比如某個(gè)論壇允許匿名用戶設(shè)置頁面的字體樣式和字體大小。

那么，該論壇就可以把匿名用戶設(shè)置的字體信息保存在cookie中，下次你用同一個(gè)瀏覽器訪問該論壇，自動(dòng)就幫你把字體設(shè)置好了。

◇小結(jié)

一般來說，有正經(jīng)用途的cookie，大都是"第一方Cookie"；至于"第三方Cookie"，大部分是用來收集廣告信息和用戶行為的。#p#

★Cookie如何泄漏隱私？

cookie就像一把雙刃劍，有很多用途，但也有弊端。一個(gè)主要的弊端就是隱私問題。

◇舉例1

假如你同時(shí)使用Google的Gmail和Google的搜索（很多Google用戶都這么干）。當(dāng)你登錄過Gmail之后，cookie中會(huì)保存你的用戶信息（標(biāo)識(shí)你是誰）；即使你在Gmail中點(diǎn)了注銷（logout），cookie中還是會(huì)有你的用戶信息。

之后，你再用Google的搜索功能，那么Google就可以通過cookie中的信息，知道這些搜索請(qǐng)求是哪個(gè)Gmail用戶發(fā)起的。

可能有些同學(xué)會(huì)問，Gmail和Google搜索，是不同的域名，如何共享cookie捏？

俺前面有介紹過，某些cookie綁定的域名是以小數(shù)點(diǎn)開頭的，也就是說，這類cookie可以被所有下級(jí)域名讀取。

因?yàn)镚mail的域名是mail.google.com，而Google搜索的域名是www.google.com。所以這兩者都可以讀取綁定在.google.com的cookie！

注：俺拿Google來舉例是因?yàn)榘巢┛偷淖x者，大部分都是Google用戶。其實(shí)不光Google存在此問題，百度、騰訊、阿里巴巴、奇虎360、等等，都存在類似問題（這幾家都有搜索功能，也都有自己的一套用戶帳號(hào)體系）。

◇舉例2

很多網(wǎng)站會(huì)利用cookie來追蹤你訪問該網(wǎng)站的行為（包括你多久來一次，每次來經(jīng)常看哪些頁面，每個(gè)頁面的停留時(shí)間）

這樣一來，網(wǎng)站方面就可以根據(jù)這些數(shù)據(jù)，分析你的個(gè)人的種種偏好（這就涉及到個(gè)人隱私）。

請(qǐng)注意：利用cookie收集個(gè)人隱私的把戲有很多，俺限于篇幅，僅列出上述兩例。#p#

★瀏覽器禁用Cookie的幾種方法

在本系列的前一篇，俺已經(jīng)分析了：Firefox是主流瀏覽器中，隱私方面比較靠譜的（完全開源、沒有商業(yè)背景）。相對(duì)于Firefox，Chrome只是部分開源，而且Google的商業(yè)模式太依賴廣告，不會(huì)為隱私保護(hù)而得罪廣告主；至于IE，根本不開源，自身的安全性也不夠。

所以，本小節(jié)下面的內(nèi)容，主要拿Firefox來說事兒。如果你是Chrome的粉絲，不想換Firefox，也沒關(guān)系。這兩款瀏覽器的某些功能大同小異，你可以參考本章節(jié)的介紹，然后在Chrome上依樣畫葫蘆。

◇只禁用第三方Cookie

前面說了，大部分"第三方Cookie"都不是干正經(jīng)事兒的。所以，最簡單也是最寬松的設(shè)置，就是光禁用"第三方cookie"。

配置方法和截圖如下：