解决Web应用中“Cookie”的安全隐患|解决安全隐患
时间:2019-01-10 03:29:05 来源:雅意学习网 本文已影响 人 
摘 要: 本文分析了Web应用中使用“Cookie”技术存在的多种安全隐患,讨论了在B/S模式下如何实现Web安全会话,给出解决“Cookie”安全隐患时使用的多种技术和方法。
关键词: Web应用 Cookie 安全隐患 安全会话
Internet实用技术的普及使网络服务成为人们生活中不可缺少的部分,其中以Web应用尤为突出,Web应用中的安全对用户来说是非常重要的。本文将对影响Web应用程序安全性的一个重要因素“Cookie”进行研究分析,提出一些针对“Cookie”实现安全会话的一些技术和方法。
1.Cookie技术概述
Cookie是浏览器访问Web服务器的某个资源时,由Web服务器在Http响应消息头中附带传给浏览器的一段数据,这段数据存储在客户端的硬盘中,在以后每次访问Web服务器时,都应在Http请求头中将这段数据回传给Web服务器的一种技术。
Cookie是一个小文本文件,由六个子项构成:名称.有效期、域名、路径、安全、串数据。名称项是该Cookie的标识。有效期项定义Cookie的生存期。域名项和路径项便于浏览器访问特定URL主机时,搜索对应Cookie。安全项说明cookie是否用tls或https这样的安全协议进行传输。串数据项用于存贮cookie内剩余信息。
文件名称格式为:用户名@网站地址.[数字].txt.省略[1].txt。文件内容格式为:naSme=value;expires=date;path=path;domain=domain_name;secure等。
利用Cookie文件,可以实现许多功能,如:(1)利用Cookie可根据用户点击率进行栏目设定,动态地产生用户所需的信息。(2)记录站点轨迹,供开发人员参考实现高质量的Web系统。(3)使用Cookie解决了Http协议有关用户身份验证的一些问题,实现有状态会话。(4)使用Cookie可以把一个浏览器访问的同一个服务器上的所有程序连贯起来。(5)利用Cookie收集大量用户信息,实现一些商业目的等 [1]。
2.Web应用中使用Cookie技术进行会话时存在的隐患
一个客户端浏览器与Web服务器之间连续发生的一系列请求和响应过程就是会话。在B/S模式会话过程中存在以下一些隐患。
B/S会话过程的两种情况:(1)不带标识会话:浏览器主动发出一个请求,Web服务器被动的反馈一个结果,只要浏览器上发出的请求消息完全一样,不管这个请求消息是在哪个主机上的那种浏览器上发出的,Web服务器都用完全一样的方式进行反馈。(2)带标识(sessionID)会话:Web服务器在一段时间内收到多个客户浏览器带标识(sessionID)的访问请求消息,Web服务器根据不同的会话(sessionID)作出相应的反馈。会话(sessionID)在Web网站中常常是通过Cookie技术在请求消息中进行传递,也可以作为请求URL的附加参数进行传递[2]。一个Web浏览器可以存储多个Web站点提供的Cookie,Cookie好比商业活动中发放的会员卡,不同的会员卡上记载不同的信息,顾客接受了这张会员卡,以后每次进行商业活动时,都将携带这张会员卡,商务活动也根据这张会员卡上记载的信息提供一些特殊事务处理。
Cookie在服务器和用户浏览器间信息传递实行的是开放式机制,实际上服务器所做的仅仅是将处理Cookie的请求送给浏览器,让浏览器去读写Cookie文件,然后Cookie的内容会包含在浏览器的请求信息中传递给服务器。Cookie文件在网络上特殊的传递流程,存储在客户端硬盘中及Cookie内容有涉密信息等特性,一旦被用意不良的人获取,将导致隐私数据泄密,Cookie被改写就可以达到欺骗服务程序的目的或者通过Cookie搜集用户信息进行某些非法商业活动。
3.解除Cookie安全隐患的技术和方法
Cookie的防范可从四个方面考虑:加强对于Cookie的安全防范意识、配置安全的浏览器、服务器端Web系统的安全设计、使用第三方Cookie管理工具。
3.1加强对于Cookie的安全防范意识
随着电子商务的兴起和互联网上巨大商机的出现,一些网站和机构滥用Cookie,未经访问者的许可,利用搜索引擎技术、数据挖掘技术、甚至是网络欺骗技术搜集他人的个人资料,达到构建用户数据库,发送广告等营利目的,造成用户个人隐私的泄露[3]。对于以上所述,Cookie与用户隐私权的问题并没有相关法律约束。有的是个人的警惕性不够,意识不到“Cookie”固有的安全隐患。因此用户要提高隐私保护意识,国家应建立和健全网络隐私保护的法律和法规,规范和监督网站采取合法的隐私保护措施。
3.2配置安全的浏览器
用户可以自主配置浏览器确保Cookie安全。例如:在浏览器的隐私策略里面对Cookie进行接受、拒绝、提示等设置。安装版本较新,技术比较成熟的浏览器。例如:Internet Explorer7.0、Firefox3.0等浏览器对Cookie安全性设计的好。登录某些敏感网站,要及时删除Cookie文件内容或把文件属性设置为只读和隐藏。登录Web系统要按系统要求退出Web系统。专业人员也可以使用客户端加密技术、Mac技术、数字签名技术和时间戳技术[4]。
3.3服务器端Web系统的安全设计
浏览器不用关心和理解Cookie的值部分的意义和格式,只是将这部分内容原封不动地返回给Web服务器,只要Web服务器能理解值部分的意义就行。对于Web系统开发人员而言,应该注意在Cookie中保存一些不重要的数据。如对应用程序没有重大影响的信息,如果确实需要在Cookie中保存某些敏感信息,就要对其加密,加密的方法很多,比较简单的有:Base64,Md5,Sha DES,RC2等,以防被他人盗用,还可以对Cookie的属性进行设置(例如:Cookie中HttpOnly的参数,这个HttpOnly被设置后,在浏览器的Document对象中就看不到Cookie了,而浏览器在浏览的时候不受任何影响。HttpOnly在IE6以上,Firefox较新版本都得到了比较好的支持,并且在如Hotmail等应用程序里都有广泛的使用,并且已经是取得了比较好的安全效果。),使用安全套接层协议(SSL)及HTTPS协议等进行传输。
3.4使用第三方Cookie管理工具
Cookie管理工具非常多,Cookie Pal是一款现在比较流行专门用于管理Cookie的软件,可运行于Windows 9x/Me/2000等操作系统,它可以帮助我们自动接受或拒绝来自某些指定服务器所存放的Cookie,也可以查看或删除系统中已经保存的Cookie。下载后,我们将得到一个420KB的EXE文件,直接用鼠标左键双击该文件即进入安装向导程序,然后依照提示连续确认便可完成安装。
4.结语
Cookie技术给用户提供了方便,但带来了许多安全隐患。本文通过对“Cookie”的安全隐患进行了分析,并给出多种解除“Cookie”安全隐患的技术和方法从而实现较为安全的会话。
参考文献:
[1]孟晓明.防范Cookie泄密的一些对策[J].计算机时代,2005,(4).
[2]张孝祥.深入体验Java Web开发内幕[M].北京:电子工业出版社,2006.
[3]李景峰,祝跃飞,张栋.用户控制下Cookie安全研究与实现[J].计算机工程,2005,(14).
[4]许力,郑宝玉.Cross Layer Coordinated Energy Saving Strategy in MANET[J].2003,(6):455-459.
