iT邦幫忙

2022 iThome 鐵人賽

DAY 9
1
Security

做IT必備的資安觀念!手把手帶你攻防實戰系列 第 9

Day 9 : 觀念篇 - 網路上常說的 cookie 是什麼東西?又該如何刪除它呢?

  • 分享至 

  • xImage
  •  

大家好,這篇要來和大家聊聊 cookie 是什麼東西

先聲明,這裡的 cookie 不是指可以吃的那個cookie(餅乾)喔!

cookie 是什麼?

相信大家在瀏覽網頁時都看過以下這張圖
https://ithelp.ithome.com.tw/upload/images/20220924/20141088fMGLkQfZL7.png

沒錯,就是這個cookie!

它的全名叫HTTP cookie,當你首次瀏覽某個網頁時,該網頁伺服器會暫存一些小檔案在你的瀏覽器上,而這些小檔案就叫做 cookie

內容

:那這些小檔案裡的內容是什麼呢?

是你的一些用戶資訊,其功用是為了讓伺服器端可以快速地辨別出你是誰,讓你在瀏覽網頁時能更流暢、方便,有更好的用戶體驗
https://ithelp.ithome.com.tw/upload/images/20220924/20141088LW3ypxIVQX.jpg

對啦派大珊,你有什麼意見逆

種類

Cookie可以分為兩種,其分類是根據發行端的網域:

  • 第一方(First-party)cookie
  • 第三方(Third-party)cookie

這裡我們先來講第一方cookie


1. 第一方(First-party)cookie

它是由「目前瀏覽的網站」所「隸屬的網域」發行的 cookie,它不可以跨網域使用,主要是用來紀錄先前在該網站的瀏覽紀錄、保持登入的狀態等。所以如果不同意使用第一方cookie,在該網站瀏覽時可能會無法正常發揮功能

例子1

舉個例子,假設你剛剛在蝦皮上加了一項商品進購物車,但你想等凌晨12點再下訂單(因為有免運嘛)
/images/emoticon/emoticon07.gif

這時你如果重新登入蝦皮,你購物車裡的商品依然會被保留,這是因為 cookie 的關係,因為它儲存了你上次瀏覽過的內容
https://ithelp.ithome.com.tw/upload/images/20220925/20141088ymOVnj7gD2.png


例子2

我們再舉個例子說明cookie的運作原理,假設派大星今天創了一個網站,叫海綿寶寶來瀏覽看看

由於海綿是「第一次」瀏覽這個網站,所以派大星的網站伺服器會蒐集到海綿的相關資訊,並把這些資訊寫進3個 cookie裡,回傳給海綿的瀏覽器進行儲存
https://ithelp.ithome.com.tw/upload/images/20220924/20141088Q0gdROAg6r.png

如果海綿「再次」瀏覽這個網頁,那派大星的網站伺服器會先讀取到之前儲存的3個cookie,並產生1個新的cookie進行回傳,此時海綿的瀏覽器上總共儲存了4個cookie
https://ithelp.ithome.com.tw/upload/images/20220924/20141088xbT5xAfjIK.png

講完第一方cookie,接下來換講第三方cookie


2. 第三方(Third-party)cookie

它不是由「目前瀏覽」的網站「所隸屬的網域」所發行的,而是由「第三方」的廣告伺服器網域發行的。這類 cookie 會「跨網域」存取到你的瀏覽紀錄,進而去推播你可能感興趣的廣告

第三方cookie的例子我們有在Day 2裡提到過

所以你可能遇過一個靈異事件,那就是你上一秒瀏覽過的球鞋,下一秒出現在其他網頁的廣告裡(這是因為第三方cookie的關係,後面會獨立一篇講)

這樣看似方便的功能,站在資安的角度來看,其實是很危險的

cookie 如果使用不當,會在我們不知情的情況下被他人利用,進而侵害到使用者的隱私,先前已有這類案例出現,事情發生在2019年的日本,但我找不到新聞稿,如果有人查到再煩請支援收銀 (誤
/images/emoticon/emoticon07.gif


小知識

然而,cookie 的使用在早期並不會先詢問你,伺服器端會擅自蒐集你的瀏覽紀錄,直接將 cookie 套用在你的瀏覽器上

所幸歐盟(EU)在2016年時通過了一般資料保護規則 general data protection regulation (gdpr),並要求所有蒐集「歐盟境內個資(包含cookie)」的業者在2018年時需強制執行,是歐盟法律對所有歐盟人民的資料保護和隱私的規範


那這條法規規範了什麼樣的內容呢?

  • 「欲蒐集資料的業者」必須向「資料擁有者」交代清楚,其蒐集的用意為何
  • 在蒐集資料前,必須先徵求「資料擁有者」的同意
  • 「資料擁有者」有權隨時撤銷該授權,並要求刪除資料

也正因為這條法規,現在瀏覽網頁都會看到「是否同意使用 Cookie?」的訊息
此時你可以想想:瀏覽這個網頁需要使用到 cookie 嗎?該同意還是關閉這個網頁呢?


Q & A時間


:我覺得可以同意第一方cookie,但我不想同意第三方cookie耶,該怎麼辦呢?

這裡用 chrome 當例子,你可以到 設定 > 隱私權與安全性 > cookie和其他網站資料,將 cookie 的一般設定改為「封鎖第三方cookie」(預設是無痕才會封鎖),此時所有網頁都不會知道你的網頁瀏覽紀錄
https://ithelp.ithome.com.tw/upload/images/20220925/20141088AUl7V5a4yH.png


:該怎麼刪除在這個網頁上的 cookie 呢?我不想將資料授權給它了

你可以選擇「一次性刪除所有 cookie」,也可以選擇「刪除單一網頁的cookie
這兩種方式我都會做示範,這裡一樣使用 chrome 當例子,網站則選擇 iThome

1. 一次性刪除所有cookie

首先先點擊「網頁右上角」的「工具欄」,再進到「更多工具」裡,選擇「清除瀏覽資料」
https://ithelp.ithome.com.tw/upload/images/20220925/20141088nUpWgDW6PY.png

時間範圍選「不限時間」,至於勾選的部分看個人,你也可以只勾「Cookie 和其他網站資料」,勾好後點擊「清除資料」就可以囉!
https://ithelp.ithome.com.tw/upload/images/20220925/20141088SlPsnKQqtW.png


2. 刪除單一網頁的cookie

這裡提供兩種方式給各位,一種是「可單選要刪除的cookie」,另一種則是「全選

這邊我們先講單選,再講多選

  • 可單選要刪除的cookie
    首先,點擊網址列左邊的「鎖頭」,並選擇「Cookie」
    https://ithelp.ithome.com.tw/upload/images/20220925/20141088HTnaXceA4s.png

此時你就能針對「單一cookie」進行操作,可以選擇「封鎖」或「移除」,操作完按「完成」
https://ithelp.ithome.com.tw/upload/images/20220925/20141088F5PVz2sna2.png

此時它會叫你「重新載入」該網頁,新的 cookie 設定就會套用成功囉!
https://ithelp.ithome.com.tw/upload/images/20220925/20141088DU2qrNAHFy.png

如果封鎖某 cookie 後反悔了,就到「已封鎖」的地方,選擇此 cookie 並按下「允許」,操作完按「完成」,就可以囉!
https://ithelp.ithome.com.tw/upload/images/20220925/201410885xC6XCK3KZ.png


  • 全選
    如果你不想一個一個慢慢刪,想一次將該網站上的 cookie 全部刪除,就在「鎖頭」的地方改選擇「網路設定
    https://ithelp.ithome.com.tw/upload/images/20220925/20141088ClXHK7XKGT.png

跳轉到設定頁後,選擇「清除資料」
https://ithelp.ithome.com.tw/upload/images/20220925/20141088OpAmOCmOJd.png

此時會跳出一個詢問視窗,點擊「清除」就可以囉!
https://ithelp.ithome.com.tw/upload/images/20220925/20141088ndG5k9x5Qi.png


以上就是今天的介紹
希望大家看完能對 cookie 更加了解!


上一篇
Day 8 : 觀念篇 - 數位簽章是什麼東西?
下一篇
Day 10 : 觀念篇 - 資訊安全管理標準:ISO/IEC 27001、27002 是什麼?
系列文
做IT必備的資安觀念!手把手帶你攻防實戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言