摘 要： 本文分析了Web應用中使用“Cookie”技術存在的多種安全隱患，討論了在B/S模式下如何實現(xiàn)Web安全會話，給出解決“Cookie”安全隱患時使用的多種技術和方法。
　　關鍵詞： Web應用 Cookie 安全隱患 安全會話
　　
　　Internet實用技術的普及使網(wǎng)絡服務成為人們生活中不可缺少的部分，其中以Web應用尤為突出，Web應用中的安全對用戶來說是非常重要的。本文將對影響Web應用程序安全性的一個重要因素“Cookie”進行研究分析，提出一些針對“Cookie”實現(xiàn)安全會話的一些技術和方法。
　　1.Cookie技術概述
　　Cookie是瀏覽器訪問Web服務器的某個資源時，由Web服務器在Http響應消息頭中附帶傳給瀏覽器的一段數(shù)據(jù)，這段數(shù)據(jù)存儲在客戶端的硬盤中，在以后每次訪問Web服務器時，都應在Http請求頭中將這段數(shù)據(jù)回傳給Web服務器的一種技術。
　　Cookie是一個小文本文件，由六個子項構成：名稱.有效期、域名、路徑、安全、串數(shù)據(jù)。名稱項是該Cookie的標識。有效期項定義Cookie的生存期。域名項和路徑項便于瀏覽器訪問特定URL主機時，搜索對應Cookie。安全項說明cookie是否用tls或https這樣的安全協(xié)議進行傳輸。串數(shù)據(jù)項用于存貯cookie內剩余信息。
　　文件名稱格式為：用戶名@網(wǎng)站地址.［數(shù)字］.txt.。例如：administrator@yahoo.com［１］.txt。文件內容格式為：naSme=value;expires=date;path=path;domain=domain_name;secure等。
　　利用Cookie文件，可以實現(xiàn)許多功能，如：（1）利用Cookie可根據(jù)用戶點擊率進行欄目設定，動態(tài)地產(chǎn)生用戶所需的信息。（2）記錄站點軌跡，供開發(fā)人員參考實現(xiàn)高質量的Web系統(tǒng)。（3）使用Cookie解決了Http協(xié)議有關用戶身份驗證的一些問題，實現(xiàn)有狀態(tài)會話。（4）使用Cookie可以把一個瀏覽器訪問的同一個服務器上的所有程序連貫起來。（5）利用Cookie收集大量用戶信息，實現(xiàn)一些商業(yè)目的等 ［１］。
　　2.Web應用中使用Cookie技術進行會話時存在的隱患
　　一個客戶端瀏覽器與Web服務器之間連續(xù)發(fā)生的一系列請求和響應過程就是會話。在B/S模式會話過程中存在以下一些隱患。
　　B/S會話過程的兩種情況：（1）不帶標識會話：瀏覽器主動發(fā)出一個請求，Web服務器被動的反饋一個結果，只要瀏覽器上發(fā)出的請求消息完全一樣，不管這個請求消息是在哪個主機上的那種瀏覽器上發(fā)出的，Web服務器都用完全一樣的方式進行反饋。（2）帶標識（sessionID）會話：Web服務器在一段時間內收到多個客戶瀏覽器帶標識（sessionID）的訪問請求消息，Web服務器根據(jù)不同的會話（sessionID）作出相應的反饋。會話（sessionID）在Web網(wǎng)站中常常是通過Cookie技術在請求消息中進行傳遞，也可以作為請求URL的附加參數(shù)進行傳遞［2］。一個Web瀏覽器可以存儲多個Web站點提供的Cookie，Cookie好比商業(yè)活動中發(fā)放的會員卡，不同的會員卡上記載不同的信息，顧客接受了這張會員卡，以后每次進行商業(yè)活動時，都將攜帶這張會員卡，商務活動也根據(jù)這張會員卡上記載的信息提供一些特殊事務處理。
　　Cookie在服務器和用戶瀏覽器間信息傳遞實行的是開放式機制，實際上服務器所做的僅僅是將處理Cookie的請求送給瀏覽器，讓瀏覽器去讀寫Cookie文件，然后Cookie的內容會包含在瀏覽器的請求信息中傳遞給服務器。Cookie文件在網(wǎng)絡上特殊的傳遞流程，存儲在客戶端硬盤中及Cookie內容有涉密信息等特性，一旦被用意不良的人獲取，將導致隱私數(shù)據(jù)泄密，Cookie被改寫就可以達到欺騙服務程序的目的或者通過Cookie搜集用戶信息進行某些非法商業(yè)活動。
　　3.解除Cookie安全隱患的技術和方法
　　Cookie的防范可從四個方面考慮：加強對于Cookie的安全防范意識、配置安全的瀏覽器、服務器端Web系統(tǒng)的安全設計、使用第三方Cookie管理工具。
　　3.1加強對于Cookie的安全防范意識
　　隨著電子商務的興起和互聯(lián)網(wǎng)上巨大商機的出現(xiàn)，一些網(wǎng)站和機構濫用Cookie，未經(jīng)訪問者的許可，利用搜索引擎技術、數(shù)據(jù)挖掘技術、甚至是網(wǎng)絡欺騙技術搜集他人的個人資料，達到構建用戶數(shù)據(jù)庫，發(fā)送廣告等營利目的，造成用戶個人隱私的泄露［3］。對于以上所述，Cookie與用戶隱私權的問題并沒有相關法律約束。有的是個人的警惕性不夠，意識不到“Cookie”固有的安全隱患。因此用戶要提高隱私保護意識，國家應建立和健全網(wǎng)絡隱私保護的法律和法規(guī)，規(guī)范和監(jiān)督網(wǎng)站采取合法的隱私保護措施。
　　3.2配置安全的瀏覽器
　　用戶可以自主配置瀏覽器確保Cookie安全。例如：在瀏覽器的隱私策略里面對Cookie進行接受、拒絕、提示等設置。安裝版本較新，技術比較成熟的瀏覽器。例如：Internet Explorer7.0、Firefox3.0等瀏覽器對Cookie安全性設計的好。登錄某些敏感網(wǎng)站，要及時刪除Cookie文件內容或把文件屬性設置為只讀和隱藏。登錄Web系統(tǒng)要按系統(tǒng)要求退出Web系統(tǒng)。專業(yè)人員也可以使用客戶端加密技術、Mac技術、數(shù)字簽名技術和時間戳技術［4］。
　　3.3服務器端Web系統(tǒng)的安全設計
　　瀏覽器不用關心和理解Cookie的值部分的意義和格式，只是將這部分內容原封不動地返回給Web服務器，只要Web服務器能理解值部分的意義就行。對于Web系統(tǒng)開發(fā)人員而言，應該注意在Cookie中保存一些不重要的數(shù)據(jù)。如對應用程序沒有重大影響的信息，如果確實需要在Cookie中保存某些敏感信息，就要對其加密，加密的方法很多，比較簡單的有：Base64，Md5，Sha DES，RC2等，以防被他人盜用，還可以對Cookie的屬性進行設置（例如：Cookie中HttpOnly的參數(shù)，這個HttpOnly被設置后，在瀏覽器的Document對象中就看不到Cookie了，而瀏覽器在瀏覽的時候不受任何影響。HttpOnly在IE6以上，F(xiàn)irefox較新版本都得到了比較好的支持，并且在如Hotmail等應用程序里都有廣泛的使用，并且已經(jīng)是取得了比較好的安全效果。），使用安全套接層協(xié)議（SSL）及HTTPS協(xié)議等進行傳輸。
　　3.4使用第三方Cookie管理工具
　　Cookie管理工具非常多，Cookie Pal是一款現(xiàn)在比較流行專門用于管理Cookie的軟件，可運行于Windows 9x/Me/2000等操作系統(tǒng)，它可以幫助我們自動接受或拒絕來自某些指定服務器所存放的Cookie，也可以查看或刪除系統(tǒng)中已經(jīng)保存的Cookie。下載后，我們將得到一個420KB的EXE文件，直接用鼠標左鍵雙擊該文件即進入安裝向導程序，然后依照提示連續(xù)確認便可完成安裝。
　　4.結語
　　Cookie技術給用戶提供了方便，但帶來了許多安全隱患。本文通過對“Cookie”的安全隱患進行了分析，并給出多種解除“Cookie”安全隱患的技術和方法從而實現(xiàn)較為安全的會話。
　　
　　參考文獻：
　?。?］孟曉明.防范Cookie泄密的一些對策［J］.計算機時代，2005，（4）.
　　［2］張孝祥.深入體驗Java Web開發(fā)內幕［M］.北京：電子工業(yè)出版社，2006.
　?。?］李景峰，祝躍飛，張棟.用戶控制下Cookie安全研究與實現(xiàn)［J］.計算機工程，2005，（14）.
　　［4］許力，鄭寶玉.Cross Layer Coordinated Energy Saving Strategy in MANET［J］.2003，（6）:455-459.