什么是Web Cookie以及它们如何连接到您的密码
你们大多数人现在可能已经承认,在互联网上保持匿名对于普通用户来说几乎是不可能的。使用一个称为cookie的小文件,在线服务提供商可以在极短的时间内学到很多关于你的信息。但这是件坏事吗?
Table of Contents
Cookie:善与恶
请考虑以下示例:您需要一台新的笔记本电脑,并且您需要花一些时间在亚马逊上查看它提供的内容。可悲的是,您感兴趣的机器超出了您的预算,您决定购买需要等待。然而,几天后,亚马逊组织了一次大规模的销售活动,您可以通过完全不同的网站上的广告了解这一消息。感谢一个小饼干,广告代理商会看到您感兴趣的内容,并且它为您提供了大量讨价还价的机会。
正如你所看到的,虽然它们在过去几年中已经形成了一些不好的名声,但饼干并不总是邪恶的。也就是说,所有这些跟踪有时会变得有点令人毛骨悚然。
许多不同的因素会影响目标广告的积极性,包括但不限于您的浏览习惯。如果它开始感觉像是侵犯了隐私,您可能需要考虑使用浏览器的隐私浏览模式和反跟踪功能,尤其是在您不确定的网站上。
如果您选择完全禁用cookie,亚马逊,Facebook和其他硅谷巨头将更加难以跟踪您的行动。但是会有副作用。
Cookies和您的在线帐户
如果禁用cookie,大多数现代网站实际上都不起作用,那些会给你一个完全不同的体验。默认情况下,当您登录在线帐户时,网站会发送一个保存在硬盘上的cookie。下次访问同一网站时,Web应用程序会检查是否存在所述cookie,读取其内容,如果一切正常,则可以让您使用您的帐户,而无需再次输入密码。换句话说,cookie可以让我们不必一直输入我们的登录凭据。
这是否意味着我们的用户名和密码存储在其中?
您可以通过在cookie中写入用户凭据并将其保存在设备上来使系统正常工作。这样,当他们回来时,将返回cookie,验证登录凭据,并且Web应用程序将允许他们进入他们的帐户。
这有很多问题。首先,如果系统要工作,您需要以纯文本或可恢复的格式存储人们的密码。 正如我们在这些页面上多次提到的那样,这是一个非常糟糕的主意。
第二个问题来自于在cookie中丢弃敏感信息是不可取的。饼干在飞行途中很难拦截,从硬盘中抓取它们是微不足道的。这就是原因,安全专家说,即使是加密格式,也不应将密码放在cookie中。
保持用户登录的正确方法
针对在cookie中保存密码的第三个也是最后一个案例是最强的 - 有一种更好的方法可以让人们登录. 它已存在多年,幸运的是,它现在被大多数网站和服务提供商使用。
用户在新设备上输入用户名和密码后,网站的后端会验证登录凭据并生成一个特殊令牌,通常是由几十个字母和数字组成的字符串。令牌可能会被指定到期日期,也可能与用户的IP地址相关联。
然后将其写入后端数据库和保存在用户设备上的cookie中。下次访问时,Web应用程序将打开cookie,读取令牌,并将其与数据库中的值进行比较。如果匹配,则用户已登录。除了将用户密码保留在黑客手中之外,令牌的使用还提供了其他机制,使得帐户劫持更加困难。它不能保证骗子会留在外面,但它比将密码放入cookie更好,而且网站管理员没有理由使用较旧的,不太安全的方法。
近年来,我们已经看到围绕cookie的大量隐私问题。有些妄想是有道理的,有些不是。然而,事实是,如果没有cookie,就不可能进行现代互联网冲浪。更重要的是,在正确构建的系统中,简陋的cookie实际上可以帮助保护用户。
