电商门户 互联网+智库
·设为首页 ·我要投稿 ·生意宝 ·生意社 ·官方微信 ·专题
综合
SAAS  |跨境
钢铁网 上市|化塑
大宗品 工业|B2B
零售
B2C|海淘 时尚|珠宝
三农|母婴 女性|食品
美妆|百货 生鲜|鞋服
O2O
房产|教育 团购|餐饮
社区|家居 汽车|差旅
医疗|婚嫁 智能|影视
金融
电商金融 保险|支付
众筹|P2P 政策|企业
消费|理财 银行|征信
智库
报告|数据 法规库
研报|案例 企业库
百科|运营 论文库
人物
网红|专家 企业家
人才|培训 微博库
快评|明星 记者库
服务
法律|维权 淘宝|曝光
营销|物流 传媒|导航
思维|品牌 微商|会议
当前位置:首页 > > 互联网研究 > 【电商百科】中国电子商务研究中心释义:cookie

【电商百科】中国电子商务研究中心释义:cookie

http://www.100ec.cn  2014年01月06日09:58  中国电子商务研究中心 人才招聘 产品服务

  (中国电子商务研究中心讯)Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109(已废弃),最新取代的规范是RFC2965。

  基本信息

  Cookie最早是网景公司的前雇员Lou Montulli在1993年3月的发明。Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器(前提是浏览器设置为启用cookie)。Cookie名称和值可以由服务器端开发自己定义,对于JSP而言也可以直接写入jsessionid,这样服务器可以知道该用户是否合法用户以及是否需要重新登录等。

  主要用途

  服务器可以利用Cookies包含信息的任意性来筛选并经常性维护这些信息,以判断在HTTP传输中的状态。Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续,这些都是Cookies的功用。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品,这些信息都会写入Cookies,以便在最后付款时提取信息。

  生存周期

  Cookie可以保持登录信息到用户下次与服务器的会话,换句话说,下次访问同一网站时,用户会发现不必输入用户名和密码就已经登录了(当然,不排除用户手工删除Cookie)。而还有一些Cookie在用户退出会话的时候就被删除了,这样可以有效保护个人隐私。Cookie在生成时就会被指定一个Expire值,这就是Cookie的生存周期,在这个周期内Cookie有效,超出周期Cookie就会被清除。有些页面将Cookie的生存周期设置为“0”或负值,这样在关闭浏览器时,就马上清除Cookie,不会记录用户信息,更加安全。

  识别功能

  如果在一台计算机中安装多个浏览器,每个浏览器都会在各自独立的空间存放cookie。因为cookie中不但可以确认用户,还能包含计算机和浏览器的信息,所以一个用户用不同的浏览器登录或者用不同的计算机登录,都会得到不同的cookie信息,另一方面,对于在同一台计算机上使用同一浏览器的多用户群,cookie不会区分他们的身份,除非他们使用不同的用户名登录。

  反对cookies者

  一些人反对cookie在网络中的应用,他们的理由如下:

  1、识别不精确

  2、隐私,安全和广告

  Cookies在某种程度上说已经严重危及用户的隐私和安全。其中的一种方法是:一些公司的高层人员为了某种目的(譬如市场调研)而访问了从未去过的网站(通过搜索引擎查到的),而这些网站包含了一种叫做网页臭虫的图片,该图片透明,且只有一个像素大小(以便隐藏),它们的作用是将所有访问过此页面的计算机写入cookie。而后,电子商务网站将读取这些cookie信息,并寻找写入这些cookie的网站,随即发送包含了针对这个网站的相关产品广告的垃圾邮件给这些高级人员。

  因为更具有针对性,使得这套系统行之有效,收到邮件的客户或多或少表现出对产品的兴趣。这些站点一旦写入cookie并使其运作,就可以从电子商务网站那里获得报酬,以维系网站的生存。

  鉴于隐藏的危害性,瑞典已经通过对cookie立法,要求利用cookie的网站必须说明cookie的属性,并且指导用户如何禁用cookie。

  脚本攻击

  尽管cookie没有病毒那么危险,但它仍包含了一些敏感信息:用户名,计算机名,使用的浏览器和曾经访问的网站。用户不希望这些内容泄漏出去,尤其是当其中还包含有私人信息的时候。

  这并非危言耸听,一种名为跨站点脚本攻击(Cross site scripting)可以达到此目的。通常跨站点脚本攻击往往利用网站漏洞在网站页面中植入脚本代码或网站页面引用第三方法脚本代码,均存在跨站点脚本攻击的可能,在受到跨站点脚本攻击时,脚本指令将会读取当前站点的所有Cookie内容(已不存在Cookie作用域限制),然后通过某种方式将Cookie内容提交到指定的服务器(如:AJAX)。一旦Cookie落入攻击者手中,它将会重现其价值。

  建议开发人员在向客户端Cookie输出敏感的内容时(譬如:该内容能识别用户身份):

  1)设置该Cookie不能被脚本读取,这样在一定程度上解决上述问题。

  2)对Cookie内容进行加密,在加密前嵌入时间戳,保证每次加密后的密文都不一样(并且可以防止消息重放)。

  3)客户端请求时,每次或定时更新Cookie内容(即:基于第2小条,重新加密)

  4)每次向Cookie写入时间戳,数据库需要记录最后一次时间戳(防止Cookie篡改,或重放攻击)。

  5)客户端提交Cookie时,先解密然后校验时间戳,时间戳若小于数据数据库中记录,即意味发生攻击。

  基于上述建议,即使Cookie被窃取,却因Cookie被随机更新,且内容无规律性,攻击者无法加以利用。另外利用了时间戳另一大好处就是防止Cookie篡改或重放。Cookie窃取:搜集用户cookie并发给攻击者的黑客。攻击者将利用cookie信息通过合法手段进入用户帐户。

  Cookie篡改:利用安全机制,攻击者加入代码从而改写Cookie内容,以便持续攻击。 (编选:中国电子商务研究中心)



    中国电子商务研究中心启动“跨境网购消费者权益保护课题研究”(详情http://www.100ec.cn/zt/ktyj/),采用平台调研、园区调研、用户调查、平台评测、“神秘买家”抽查、政策研究、桌面研究等调研方法,对三类全国跨境进口电商平台开展调查:1)电商巨头设立的跨境电商平台,如亚马逊海外购、天猫国际、淘宝全球购、唯品国际、京东全球购、聚美极速免税店、国美海外购、苏宁易购海外购等;2)独立运营综合型跨境进口电商,如网易考拉海购、洋码头、丰趣海淘、寺库、走秀网、小红书、达令、波罗蜜、冰帆海淘、摩西、hai360海外购、西集网、86mall等;3)垂直型跨境进口电商平台,如蜜芽、宝宝树(美囤妈妈)、宝贝格子、孩子王、美美箱等。成果将形成国内首份《2017年度跨境网购消费者权益保护报告》,除供有关部门出台相应监管措施决策参考外,还将于明年315前通过全国媒体向全社会发布。

版权声明
   (1)凡本中心注明“来源:中国电子商务研究中心”或带有中国电子商务研究中心水印LOGO的所有文字、图片、音频、视频及其他任何形式的作品 ,其版权均属中国电子商务研究中心所有,任何媒体、网站或个人未经本中心协议授权不得转载、链接、转贴或以其他方式复制发布/发表。已与本中心协议授权的媒体、网站,在下载使用时必须注明“稿件来源:中国电子商务研究中心”,违者本中心将依法追究责任。
   (2)转载或引用本中心内容必须是以新闻性或资料性公共免费信息为使用目的的合理、善意引用,不得对本中心内容原意进行曲解、修改,同时必须保留本中心注明的“稿件来源”,并自负版权等法律责任。
   (3)对于不当转载或引用本中心内容而引起的民事纷争、行政处理或其他损失,本中心不承担责任。
   (4)凡本中心注明“来源:xxx(非中国电子商务研究中心)”的文/图等稿件,均转载自其它媒体、网站与机构,其转载目的在于传递更多信息,并不代表本中心赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容,如其他媒体、网站或个人从本网下载使用,必须保留本网注明的“稿件来源”,并自负版权等法律责任。
   (5)关于本中心发布的用户投诉稿件,信息均由用户通过本中心投诉通道提供,本中心不对其真实性负责,若内容真实性有误,请与本中心联系,本中心将在核实后进行处理。
   (6)对不遵守本声明或其他违法、恶意使用本中心内容者,本中心保留追究其法律责任的权利。
   (7)如因作品内容、版权和其它问题需要同本中心联系的请发送相关内容至邮箱:news@netsun.com)
   此版权声明解释权归中国电子商务研究中心所有。
  • 电商报告
  • 投诉曝光
  • 热点专题
生态型企业:更多>>
曝光专区:更多>>
图书出版
关于我们 联系我们 商务合作 投稿撤稿 友情链接 免责声明 人才招聘 独家专题 中心微信
中国电子商务研究中心 版权所有