曲奇餅HTTP
出自KMU Wiki
HTTP 曲奇餅, 或通常稱為網曲奇餅, 跟蹤曲奇餅或正義曲奇餅, 是文本小包由伺服器 送 到 瀏覽器 和由瀏覽器然後退還unchanged 每次它伺服器的通入。 HTTP 曲奇餅用對於 證實, 跟蹤, 和關於用戶的維護的具體資訊, 譬如站點特選或他們的電子購物車 內容。期限"曲奇餅" 從"魔術的曲奇餅被獲得," 一個知名的概念在 UNIX 計算_發想法和HTTP 曲奇餅的名字。
曲奇餅是重要的事物為 網際網路保密性, 因為他們可能被使用為跟蹤的瀏覽行為。結果, 他們是依於立法在不同國家中譬如 美國 和在 歐共體。他們提供的曲奇餅並且被批評了因為用戶證明總不是準確的並且因為他們能潛在地是網路攻擊者的目標。一些選擇對曲奇餅存在, 但每個有它自己的用途、好處和缺點。
曲奇餅並且是依於一定數量的誤解, 主要根據錯誤概念, 他們是 電腦程式。實際上, 曲奇餅是資料簡單的片斷無法獨自進行任一操作。特別是, 他們是不 spyware 亦不 病毒, 儘管曲奇餅的偵查從某些站點由許多anti-spyware 產品。
多數現代瀏覽器允許用戶決定是否接受曲奇餅, 但rejection 使一些 網站 不能再用。例如, 手提籃被實施使用曲奇餅不運作如果曲奇餅rejected 。
目錄 |
[編輯] 目的
HTTP 曲奇餅由網路伺服器使用區分用戶和維護資料與用戶有關在航海期間, 可能橫跨多次參觀。HTTP 曲奇餅被介紹為體會提供方式"購物車" (或"手提籃"),[ 1 ][ 2 ] 用戶罐頭"地方" 項目購買的一個虛擬設備, 以便用戶能駕駛項目是被顯示, 任何時候增加或去除項目從手提籃的站點。
允許用戶登錄到網站是對曲奇餅的其它用途。用戶典型地登錄由插入他們的證件入註冊頁; 曲奇餅允許伺服器知道, 用戶已經被證實, 並且因此被准許訪問服務或進行被限於採伐在用戶的操作。
許多網站並且用曲奇餅為 個人化 根據用戶首選項。經常要求認證用途這個特點的站點, 雖然它是還存在在站點不要求認證。個人化包括介紹和功能。例如, Wikipedia 網站允許他們喜歡最好的被證實的用戶 選擇 網頁皮膚; Google 搜索引擎允許用戶(非登記的甚而那些) 決定多少個查尋結果每頁他們想要看。
曲奇餅並且用跟蹤用戶橫跨網站。第三方曲奇餅和 網臭蟲, 下面被解釋, 並且考慮到跟蹤橫跨多個站點。跟蹤在站點之內典型地做以導致用法統計的目標, 當跟蹤橫跨站點由給典型地使用公司做廣告導致匿名用戶概況, 然後使用瞄準做廣告(決定哪個廣告的圖像顯示) 根據用戶概況。
[編輯] 認識
技術上, 曲奇餅是資料任意片斷由網路伺服器 選擇 和寄發到瀏覽器。瀏覽器退回他們unchanged 到伺服器, 介紹 狀態 (早先事件記憶) 入否則無國籍的HTTP 交易。沒有曲奇餅, 網頁的各 網頁的 檢索或組分是一次被隔絕的事件, 主要無關對同樣站點的頁的所有其它看法。由退回曲奇餅到網路伺服器, 瀏覽器提供伺服器連接當前時期看法手段用預先的頁觀看。除由網路伺服器之外被設置, 曲奇餅可能由一個劇本並且 設置 在一種語言譬如 Java 語言, 如果由瀏覽器支持和使能。
曲奇餅規格[ 3 ][ 4 ] 建議, 瀏覽器應該支持曲奇餅的一個最小的數字或相當數量記憶為存放他們。特別是, 網際網路瀏覽器被預計能存放至少4 個千位元組300 個曲奇餅每個, 和至少20 個曲奇餅每伺服器或 領域。
相關的計數最大值被存放的曲奇餅每領域為主要瀏覽器是:
Firefox 1.5: 50
Firefox 2.0: 50
歌劇9: 30
Internet Explorer 6: 20 (上升到50 在更新在 2007 8月 14 日)
Internet Explorer 7: 20 (上升到50 在更新在 2007 8月 14 日)
曲奇餅必須實踐上小比4KB 。Internet Explorer 強加4KB 共計為所有曲奇餅被存放在一個指定的領域。
曲奇餅名字是案件厚臉皮根據部分3.1 RFC 2965
曲奇餅安裝員能指定刪除日期, 在曲奇餅將被去除在那個日期情況下。如果曲奇餅安裝員不指定日期, 曲奇餅被去除一旦用戶放棄他們的瀏覽器。結果, 指定日期是一個方式為做曲奇餅生存橫跨會議。因此, 曲奇餅以有效期稱 堅持。為例應用, 購物站點可能用堅持曲奇餅存放用戶安置了在他們的籃子的項目。這樣, 如果用戶放棄他們的瀏覽器沒有做購買和以後回來, 他們仍然發現同樣項目在籃子因此他們不必須再尋找這些項目。如果這些曲奇餅未被給有效期, 他們會到期當瀏覽器是閉合的, 並且關於籃子內容的資訊會丟失。
曲奇餅可能並且被限制在範圍對一個具體領域、subdomain 或道路在創造他們的網路伺服器。
[編輯] 誤解
從他們的介紹在網際網路, 誤解關於曲奇餅流通了在網際網路和在媒介。[ 5 ][ 6 ] , 1998 年 CIAC, 美國能源部的電腦事件反應 隊, 發現了在安全上的弱點"根本上不存在" 和解釋了那"資訊您來自的地方並且什麼網頁您已經參觀存在在網路伺服器的記錄文件" 。[ 7 ] 2005 年, 木星研究 出版了勘測的結果,[ 8 ] 應答者的一致的百分比相信一些以下假的要求:
曲奇餅是像 蠕蟲 和 病毒 他們能刪掉資料從用戶的硬碟
曲奇餅引起 popups
曲奇餅用為 spamming
曲奇餅只用為 做廣告
曲奇餅是實際上唯一資料, 不是節目代碼: 他們無法刪掉或讀資訊從用戶的電腦。[ 9 ] 但是, 曲奇餅考慮到查出網頁由一名用戶觀看在指定的站點或套站點。這資訊可能被收集在 用戶的 □案。這樣外形經常是匿名的, 即, 他們不包含用戶的個人資訊(名字、地址, 等。) 更加精確地, 他們無法包含個人資訊除非用戶使它可利用對一些站點。既使匿名, 這些外形是一些保密性關心主題。
根據同樣勘測, 網際網路用戶的大百分比不會刪除曲奇餅。
[編輯] 瀏覽器設置
多數現代瀏覽器支持曲奇餅。但是, 用戶能通常並且選擇不管曲奇餅應該用。下列是共同的選擇:[ 10 ]
完全地使能或使曲奇餅失去能力, 以便他們總被接受或總被阻攔。
提示用戶為各自的曲奇餅和記住他們的答復。
區別在一黨和第三方曲奇餅之間和相應地對待各個小組(即制約或deny 第三方曲奇餅只是允許一黨曲奇餅。)
對待曲奇餅根據 whitelist 或 黑名單, 更新由用戶或瀏覽器製造者(即制約或阻攔曲奇餅從被列入黑名單的站點。)
投入一個合理的蓋帽在曲奇餅的有效期限和時刻。
對待曲奇餅根據他們的 P3P 隱私權政策如果他們有任何。
瀏覽器也許包括更好指定哪個的可能性曲奇餅必須被接受。特別是, 用戶能典型地選擇一個或更多以下選擇: reject 曲奇餅從具體領域; 禁止第三方曲奇餅(參見下面); 像非堅持接受曲奇餅(到期當瀏覽器是閉合的); 並且允許伺服器設置曲奇餅為一個另外領域。另外, 瀏覽器也許並且允許用戶觀看和刪除各自的曲奇餅。
多數瀏覽器支持Java 語言允許用戶看是活躍的談到指定的頁由輸入 javascript:alert("Cookies: "+document.cookie) 瀏覽器URL 領域 的 曲奇餅。一些瀏覽器合併一位曲奇餅經理使用戶看和有選擇性地刪除曲奇餅當前被存放在瀏覽器。
[編輯] 保密性和第三方HTTP
曲奇餅有一些重要涵義在 網友 保密性 和匿名。當曲奇餅只寄發到伺服器設置他們或一個在同樣 網際網路領域, 網頁也許包含圖像或其它組分被存放在伺服器在其它領域。被設置在這些組分期間檢索的曲奇餅叫做 第三方曲奇餅。
在這個虛構例子, 一個廣告的公司安置了橫幅在不顯示任何橫幅實際上) 的二個網站(。主持橫幅圖像在它的伺服器和用第三方曲奇餅, 廣告的公司能跟蹤瀏覽用戶橫跨這兩個站點。做廣告公司用第三方曲奇餅跟蹤一名用戶橫跨多個站點。特別是, 一個廣告的公司能跟蹤一名用戶橫跨它安置了給圖像或網臭蟲做廣告 的所有頁。頁的知識由用戶參觀允許廣告公司瞄準廣告對用戶的被假定的特選。
建立用戶□案的可能性由一些考慮了一個潛在的保密性威脅, 既使當跟蹤完成在一個唯一領域但特別是當跟蹤做橫跨多個領域使用第三方曲奇餅。因此, 一些國家有立法關於曲奇餅。
2000 年 美國政府設置了嚴密的規則在設置曲奇餅在它被透露之後白宮 藥物政策辦公室 用曲奇餅跟蹤電腦用戶觀看它網上反藥物做廣告。2002 年, 保密性活動家丹尼爾・布□特發現 CIA 留下堅持曲奇餅在電腦十年。當通報它違犯政策, CIA 闡明, 這些曲奇餅故意地未被設置並且停止設置他們。[ 11 ] 在 2005 年12月25 日 , 布□特發現, 國家安全代辦處 留下二個堅持曲奇餅在訪客的電腦由於軟體升級。在是以後消息靈通, 國家安全代辦處立刻使曲奇餅失去能力。[ 12 ]
2002 歐共體電信保密性方針 包含規則關於對曲奇餅的用途。特別是, 文章5, 段3 這個方針託管那存放資料(像曲奇餅) 在用戶的電腦裡可能只做如果: 1) 用戶是關於怎樣的被提供的資訊這資料被使用; 並且2) 用戶被給denying 這存放的操作的可能性。但是, 這篇文章並且聲明那存放是必要的為技術原因的資料被豁免從這個規則。這個方針被預計被申請了從2003 年10月, 但 12月2004 日報告 認為(頁38) 這個供應實踐上未被應用得, 並且一些成員國(斯洛伐克、 拉脫維亞、 希臘、 比利時, 和 盧森堡) 甚而沒有實施供應在民族法。同樣報告建議對情況的詳盡的分析在會員國。
P3P 規格包括可能性使伺服器陳述隱私權政策, 指定哪种資訊它收集並且為哪個目的。這些政策包括(但不被限制) 對資訊的用途被會集使用曲奇餅。根據P3P 規格, 瀏覽器可能接受或reject 曲奇餅由隱私權政策與被存放的用戶首選項比較或要求用戶, 提出他們隱私權政策依照由伺服器宣稱。
許多網瀏覽器包括蘋果電腦公司的徒步旅行隊和Microsoft Internet Explorer 版本6 和7 允許瀏覽器確定是否允許第三者曲奇餅被存放的支持P3P 。歌劇瀏覽器允許用戶拒絕第三方曲奇餅和創造全球性和具體安全性配置文件為網際網路領域。[ 13 ] Firefox 2.x 下降了這個選擇從它的菜單系統但被預計恢復它以版本發行3.x 。
[編輯] 缺點
除保密性關心以外, 曲奇餅並且有一些技術缺點。特別是, 他們總準確地不辨認用戶, 他們可能被使用為安全攻擊, 並且他們與代表狀態調動(休息)軟體建築風格[ 引證是有分歧的
]。
[編輯] 不精確的証明
如果超過一個瀏覽器被使用在電腦, 每個通常有一個分開的貯存區為曲奇餅。因此曲奇餅不辨認一個人, 而是用戶帳號、電腦, 和瀏覽器的組合。因而, 任何人使用多個帳戶, 電腦, 或瀏覽器有多套曲奇餅。
同樣, 曲奇餅不區分在分享電腦和瀏覽器的廣泛用戶之間, 如果他們不使用不同的 用戶帳號。
[編輯] =
[編輯] 曲
[編輯]
奇餅搶劫 ===
在正常運行期間曲奇餅被送反覆在伺服器(或一個小組伺服器在同樣領域) 並且瀏覽的用戶的電腦之間。因為曲奇餅也許包含高度機密資訊(用戶名、象徵被使用為 認證, 等), 他們的價值不應該是容易接近的對其它電腦。曲奇餅偷竊是攔截的曲奇餅行動由一個未批准的黨。
曲奇餅可能被竊取通過 小包嗅 在攻擊叫做 會議搶劫。交通在網路可能被攔截和讀由電腦在網路除它的發令者和它的接收器之外, (特別在 unencrypted 公眾 Wi Fi 網路。) 這交通包括曲奇餅被送在普通的unencrypted http 會議。那裡網路資訊流通量不被編成密碼, 惡意用戶能讀因此其它用戶的通信在網路, 包括他們的曲奇餅, 使用節目叫做 袋式檢漏頭。
這個問題可能由獲取克服通信在用戶的電腦和伺服器之間由使用 傳送層安全 (https 協議) 編成密碼連接。伺服器可能指定 安全旗子 當設置曲奇餅; 瀏覽器然後將送它只在一個安全信道, 譬如 SSL 連接。[ 14 ]
但是很大數量的網站, 雖然使用安全 https 通信為用戶 認證 (即 註冊 頁), 隨後送會議曲奇餅和資料普通的 unencrypted http 連接為表現原因。黑客能因此容易地攔截其它用戶曲奇餅和扮演他們在相關的網站。[ 15 ]
十字架站點scripting: 應該只被交換在伺服器和客戶之間的曲奇餅寄發到其它黨。一個另外方式竊取曲奇餅是 十字架站點scripting 並且做瀏覽器寄發曲奇餅到不應該接受他們的伺服器。現代瀏覽器允許代碼片斷的施行被檢索從伺服器。如果曲奇餅是容易接近的在施行期間, 他們的價值也許通信以某種形式對不應該訪問他們的伺服器。編成密碼曲奇餅在送他們之前在網路不幫助反對這次攻擊。[ 16 ]
這類型十字架站點scripting 由攻擊者典型地利用在承認用戶張貼HTML 內容 的站點。由埋置代碼一個適當的片斷在HTML 崗位, 攻擊者也許接受其它用戶曲奇餅。這些曲奇餅知識可能由連接然後利用到同樣站點使用被竊取的曲奇餅, 因而被認可作為曲奇餅被竊取了的用戶。
一個方式為防止這樣攻擊是由 HttpOnly 旗子;[ 17 ] 這是使一個曲奇餅不能進入對客戶端劇本的微軟選擇。但是, 網站設計師應該考慮設計他們的網站以便他們對十字架站點scripting 是免疫的。[ 18 ]
資料引用:[1]