iT邦幫忙

16

瀏覽網頁時在電腦通常會遺留下Cookie,據說有風險,該怎麼處理?

ithelp 2008-02-14 17:44:1225584 瀏覽

當個人端電腦以瀏覽器存取網頁時,一般來說,這些網站在電腦硬碟上會遺留下一些網頁暫存檔與Cookie檔案,這些檔案裡面存放了什麼資料?為什麼據說有風險?身為一個使用者該怎麼處理?
任何一種瀏覽器都提供了Cookie的功能,善意的運用,可以方便使用者重複連線瀏覽相同的網站時,可以省略掉許多重複欄位資訊的輸入,只是萬一被惡意的有心人士取得這一些重要的暫存資訊,極可能也會讓你的私密資訊曝光或是造成慘痛的金錢損失。

當我們開始懂得如何透過瀏覽器上網的哪一刻開始,許多可能因上網所造成的傷害行為便隨時可能發生在你我的身上,其中因瀏覽器所提供的這一項Cookie功能所造成的傷害,從過去到現在仍然是層出不窮的持續發生中。

相信許多人都曾經連線瀏覽過一些需要我們輸入帳戶、密碼、身分字號等資訊來登入的網站,它們可能是一些你所熟悉的知名網站,例如:MSN、Yahoo、購物網站、網路銀行、基金公司、公司的入口網站等等,當然也可能是一些不知名的網站。無論如何,只要這一些網站當初在設計時,會建立持續性或暫時性的Cookie資訊在你的電腦上時,便可能會被惡意的有心人士拿來為非作歹,因為他們極可能藉此從你的電腦上獲取到許多不能被公開的私密資訊,也就是你曾經在某一些網站上所輸入的帳戶、密碼、身分證字號、電話、住址等資訊。

關於Cookie的種類,大致可以區分為三種類型,包括持續性、暫時性,以及工作階段。第一種會在你關閉瀏覽器之後繼續儲存,直到你自己手動或預先設定為自動清除之後才會消失,否則將會作為相對的來源,以便瀏覽網站時繼續參考使用,通常目的都是用以解決使用者重複輸入相同資訊的不便(例如網站登入資訊)。至於第二種及第三種,都是屬於暫時性的Cookie,前者主要可以讓使用者在關閉瀏覽器的時候自動清除所有Cookie的資訊,後者則是讓使用者在該網站完成某一些操作設定與結束該網站的登入後,自動清除某一部分的Cookie內容,例如購物網站的交易所使用的購物車功能,便是採用這種安全機制。

Cookie安全事件的案例分享
過去微軟一些尚未完成補強修正程式更新的舊版IE瀏覽器,例如5.5、5.5 SP1、5.5 SP2、6.0版本,原廠就曾經公布含有嚴重的安全漏洞,其中與Cookie相關的問題,便是讓攻擊者可以透過此安全漏洞取得或修改用戶瀏覽器中存放的Cookie內容,這種攻擊手法則是惡意的攻擊者透過寄送內含特定JavaScript程式碼的URL連結,然後以電子郵件寄給被攻擊者,一旦受害目標點選此郵件中的URL時,便可能將屬於其他網站的Cookie傳送給攻擊者所架設的網站,達到盜取Cookie的目的。

一旦攻擊者取得了未經授權的Cookie內容,後果可能極為嚴重。因為許多網站包括網路銀行、購物網站等,都會利用Cookie作為用戶登入時的身分識別機制,因此重新取得或修改了他人的Cookie後,便可能有辦法潛入被攻擊者所能合法存取的這些網站。

有效防範Cookie被盜的第一步
由於許多網站都會要求開啟瀏覽器寫入Cookie的功能之後,才能夠正常操作網站上的各項功能,也因此在我們的瀏覽器設定中,似乎不太可能完全關閉這一項功能的使用。

不過由於瀏覽器上的Cookie是記錄在本機電腦中,因此專用或私用的電腦並不會發生立即性的危害,可是如果這臺電腦是一些在外頭由其他業者所提供的公用電腦,離開此電腦之後就必須養成好習慣,手動清除所有上網的記錄以及Cookie,如此才不會被來自身旁四周圍的有心人士,在你離開位置之後,透過某些駭客工具或手法取得原始的Cookie資料。

準備離開這部公用電腦了嗎?如果是,請將你剛用來上網的IE瀏覽器,在開啟之後點選位在[工具]下拉選單中的[網際網路選項](或是在控制臺中的[網際網路選項]),然後在[一般]頁面中點選[刪除]按鈕,緊接著將會開啟頁面,在此強烈建議你直接點選[全部刪除]按鈕,而不是其他個別項目的刪除按鈕,或僅是點選[刪除Cookie]按鈕,如此一來,才不會「凡走過必留下痕跡」,讓有心人士有機可趁。

如果你所使用的是Mozilla Firefox瀏覽器,要如何在離開公用電腦時手動清除Cookie呢,道理同樣很簡單,只要點選位在[工具]下拉選單中的[選項],然後切換到[個人隱私]的頁面之後,點選[立刻清除]按鈕(或是直接按下[Ctrl]+[Shift]+[Del]按鍵),此刻將會開啟所要清除的項目清單。建議你全部選取、點選[立刻清除隱私資料]的按鈕即可。

關於Cookie的進階安全設定
不同的瀏覽器在Cookie的安全組態配置上會有些許差異。首先以內建在Windows作業系統中的IE來說,打從5.0版就開始提供一些管理Cookie組態的安全設定,直到目前最新的IE7則又提供了更完善的安全管理功能。要設定關於IE7.0中的Cookie安全組態,只要在IE程式執行後,點選位在[工具]下拉選單中的[網際網路選項],然後切換到[隱私權]的頁面中,首先便可以先設定Cookie安全性的等級,以下說明IE所提供的幾種安全項目,以及安全性由高而下的六種等級設定內容:

封鎖所有Cookie:這個設定將會使得你的IE在瀏覽網站的時候,自動封鎖來自所有網站的Cookie寫入,所以所有網站都將無法從這個瀏覽器連線中,獲得任何的Cookie資訊。
高:這個設定只會封鎖那一些缺乏簡潔隱私權政策的網站的所有Cookie,以及一些沒有經過使用者許可就嘗試存取Cookie的網站。這個選項便是筆者建議設定的。請記得點選[站臺]按鈕,以便進一步加入直接允許與封鎖寫入Cookie的來源網域。
中高:只會封鎖那些缺乏簡潔隱私權政策的第三方網站Cookie,以及沒有經過使用者許可就嘗試存取Cookie的第一方與第三方網站。
中:和中高等級的差別,在於中級會將一些沒有經過使用者許可就嘗試存取Cookie的第一方網站,有條件地予以封鎖,而不是完全封鎖。
低:這設定只會封鎖缺乏簡潔隱私權政策的第三方網站Cookie,以及沒有經過使用者許可,就嘗試存取Cookie的第三方網站,進行有限制的封鎖。
接受所有Cookie:自動接受來自任何網站Cookie的寫入與讀取的需求,因此在站臺按鈕清單中的任何設定都將會失效,強烈建議你不可選擇這個設定。

在Cookie安全組態配置部分,如果使用的是Mozilla Firefox瀏覽器,在設定上沒有那麼多細部的項目要去設定。同樣在[個人隱私]的頁面中,首先可以點選[例外]按鈕來設定允許與拒絕存取Cookie的網址,接著如果你希望所有Cookie的資料可以在你關閉瀏覽器時自動清除,則可以勾選[結束Firefox時清除隱私資料]的選項,並且點選[設定]按鈕,進一步勾選所要自動清除的隱私資料項目,這其中當然就包括了[Cookies]選項。

如何檢視目前的Cookie資料
只要我們尚未清除持續性的Cookie資料之前,事實上它都只是以文字檔案的形式,儲存在本機電腦中的某一個預設路徑下,而使用者也可以直接經由瀏覽器來查看這裡頭的相關資訊,它的主要目的便是可以讓我們了解到究竟有哪些網站,儲存Cookie資料在我們的電腦之中。

以IE7瀏覽器來說,你可以在[網際網路選項]的[一般]頁面之中,點選位在[瀏覽歷程記錄]區域中的[設定]按鈕,接著便可以在下一個頁面中點選[檢視檔案]按鈕,查看到所有以Cookie為開頭的文字檔案,將它開啟後,便可以看到這個Cookie的詳細資料了。

如果使用的是Mozilla Firefox瀏覽器,則可以在[工具]\[選項]執行後的[個人隱私]頁面中,點選[顯示Cookies]按鈕來加以查看,它提供了專屬的頁面,可以針對特定來源網站的分類,查看個別Cookie的資訊,或是可以經由關鍵字的輸入,搜尋符合特定條件的Cookie資料。必要的話,你也可以點選[刪除Cookie]或[刪除全部Cookie]的按鈕,清除個別或所有Cookie的資料。

現今的是一個讓各種詐騙集團持續橫行蔓延的年代,無論是面對面的接觸詐騙或是採用間接的電話詐騙、電子郵件詐騙、網路詐騙等等,所為何來呢?不都是為了取得這一些不乾淨的錢財而來嗎?能夠徹底預防的方法,首重在於不貪求,也就是千萬別相信什麼天上掉下來的禮物,其二則是要養成良好的安全習慣,就如同本文中所提到的一樣,請在離開公用的電腦之後,手動清除所有的隱私資訊,這就好像有詐騙集團的人士透過電話、MSN Messenger、傳真,甚至面對面,藉由一些似是而非的理由,想取得你的某些個人資料一樣,一旦完整資料到手,你就會面臨前所未有的大失血。最後請記住一句話,網路無國界,詐騙也無國界。

何謂第一方與第三方網站
所謂第一方網站的Cookies,便是來自你目前正在瀏覽中的網站,通常會以持續性或暫時性的方式寫入Cookie,而第三方Cookies則是來自你正在瀏覽中的網站上的其他網站廣告(例如快顯視窗或橫幅廣告),而這一些第三方網站許多都會藉由Cookie的讀取,追蹤使用者的網站行為,以作為後續行銷廣告上的參考。


0
5min
iT邦好手 3 級 ‧ 2008-04-20 17:03:13

謝謝分享

0
john651216
iT邦研究生 1 級 ‧ 2008-04-21 11:13:49

謝謝分享

0
海綿寶寶
iT邦大神 1 級 ‧ 2008-04-24 18:42:47

走進一家便利店買東西
你不用出示任何身分證明

上網卻會到處留下識別資料
真是諷刺

0
tgunlu
iT邦研究生 1 級 ‧ 2008-04-25 07:01:49

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-04-25 10:34:24

感謝提供分享

0
tyc1220
iT邦研究生 1 級 ‧ 2008-05-15 02:35:06

謝謝分享

0
albert0405
iT邦研究生 3 級 ‧ 2008-08-20 13:13:24

真是感謝分享啦

0
davistai
iT邦大師 1 級 ‧ 2008-08-31 10:21:22

Antijava大所言甚是,由真實走入虛擬,成就了便利,卻帶來更多的風險!!

我要留言

立即登入留言