七寸蔚蓝
小狐狸
小狐狸
  • UID25626
  • 注册日期2008-07-28
  • 最后登录2013-03-19
  • 发帖数2
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
阅读:3676回复:13

有没有人帮我解释一下3.15晚会上关于COOKIE恐怖的言论?

楼主#
更多 发布于:2013-03-18 21:57
我是一个网络管理员,虽然以前也知道COOKIE的作用的坏处,但是自从看了2013.3.15后。似乎觉得对COOKIE这个东西陌生起来。这个东西真的有这么厉害!电脑上的COOKIE就这么不堪一击吗。真的很难理解,而且我电脑上的NORTON以及COMODO从来没有报过COOKIE有病毒或者黑客行为!这让人十分不解!有没有哪位大神能出来给兄弟解解愁,说道说道!以及FIREFOX怎么设置才能保证系统COOKIES的使得性与相对安全性并存。谢谢 
CooB
千年狐狸
千年狐狸
  • UID2829
  • 注册日期2005-02-06
  • 最后登录2023-05-23
  • 发帖数2176
  • 经验140枚
  • 威望0点
  • 贡献值18点
  • 好评度3点
  • 社区居民
  • 忠实会员
1楼#
发布于:2013-03-18 21:57
据我了解的是,cookie除了可以包含我上网的痕迹以外,还可以包含我使用的机器名和帐户名信息。

从用户控制权为最高的理想状态来看,用户所不知情的cookie被网站索要,都应该视为“隐私”被窃取。如果经过用户同意,网站回传cookie,就仅仅是个人信息与网站服务的一个合理交换,并非窃取。

个人与网站交互时,如果使用非https协议,cookie回传过程是明文,这个过程有可能被第三方监听或者污染。

第三方cookie被广告商广泛使用,为了跟踪用户行为从而精确投放广告;正面的用途,比如一些大公司旗下有多个域名的话,也要用到第三方cookie,使得大公司能了解用户在各个子域名的活动,提供相应的服务。

跟firefox相关的:
firefox目前(v19)默认允许第三方cookie,但前阵子说v22将会有个补丁,禁止第三方cookie,那么广告商将失去很多用户信息。
现在v19也能在选项/隐私/历史记录中修改,禁止第三方cookie,但这样会造成一些使用第三方域名的服务不正常。

设置的话,firefox里面也可以对每一个cookie进行控制,搜索、删除,但手工方式也足够蛋疼了,估计有相关的安全扩展支撑白名单cookie管理吧,知道的英雄请补充。

我的做法:
使用ccleaner,它有扫描、清除cookies的功能,允许设定白名单,清理时可以扫到firefox、chrome这些应用的cookie。更加方便。
CooB
千年狐狸
千年狐狸
  • UID2829
  • 注册日期2005-02-06
  • 最后登录2023-05-23
  • 发帖数2176
  • 经验140枚
  • 威望0点
  • 贡献值18点
  • 好评度3点
  • 社区居民
  • 忠实会员
2楼#
发布于:2013-03-18 21:57
补充一个,XSS跨站脚本攻击可以窃取、污染cookie,安装NoScript可以有效防止XSS攻击,有个印象是即使NoScript全局允许脚本,对XSS的防范还是有效的,未求证。

反正我是长期的NoScript用户,带来安全的同时也能够保持页面的轻量展现,还顺带给去一些广告,省掉ADP了。
taglife
千年狐狸
千年狐狸
  • UID38488
  • 注册日期2012-03-20
  • 最后登录2013-04-02
  • 发帖数2052
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
3楼#
发布于:2013-03-18 21:57
反正我是长期的NoScript用户,带来安全的同时也能够保持页面的轻量展现,还顺带给去一些广告,省掉ADP了。

不同意 <!-- s8) --><img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /><!-- s8) --> 還有很多广告是以圖片或文字的形式存在
NoScript 對页面的轻量展现需先設定好白名單,不然很多網站功能會失效  
Firefox 開啟安全模式,停用個人設定、佈景主題及擴充套件(無附加元件)測試:
說明 > 重新啟動但停用附加元件(Firefox 4+)
Firefox Profile: 說明 > 疑難排解資訊 > 開啟資料夾
排版引擎:Firefox(Gecko), Opera(Presto), Google Chrome(WebKit),
Safari(WebKit), Internet Explorer(Trident), Konqueror(KHTML)
taglife
千年狐狸
千年狐狸
  • UID38488
  • 注册日期2012-03-20
  • 最后登录2013-04-02
  • 发帖数2052
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
4楼#
发布于:2013-03-18 21:57
如果经过用户同意,网站回传cookie,就仅仅是个人信息与网站服务的一个合理交换,并非窃取。

设置的话,firefox里面也可以对每一个cookie进行控制,搜索、删除,但手工方式也足够蛋疼了,估计有相关的安全扩展支撑白名单cookie管理吧,知道的英雄请补充。

現在很多網站都只用一行小字來代表经过用户同意吧,甚至只有隱私權的連結...

Cookie 的白名單我也想找一個擴展,請 fang5566 介紹一下
Firefox 開啟安全模式,停用個人設定、佈景主題及擴充套件(無附加元件)測試:
說明 > 重新啟動但停用附加元件(Firefox 4+)
Firefox Profile: 說明 > 疑難排解資訊 > 開啟資料夾
排版引擎:Firefox(Gecko), Opera(Presto), Google Chrome(WebKit),
Safari(WebKit), Internet Explorer(Trident), Konqueror(KHTML)
taglife
千年狐狸
千年狐狸
  • UID38488
  • 注册日期2012-03-20
  • 最后登录2013-04-02
  • 发帖数2052
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
5楼#
发布于:2013-03-18 21:57
七寸蔚蓝:我是一个网络管理员,虽然以前也知道COOKIE的作用的坏处,但是自从看了2013.3.15后。似乎觉得对COOKIE这个东西陌生起来。这个东西真的有这么厉害!电脑上的COOKIE就这么不堪一击吗。真的很难理解,而且我电脑上的NORTON以及COMODO从来没有报过COOKIE有病毒或者黑客行为!这让人十分不解!有没有哪位大神能出来给兄弟解解愁,说道说道!以及FIREFOX怎么设置才能保证系统COOKIES的使得性与相对安全性并存。谢谢 回到原帖

看你這樣子離网络管理员還很遠吧    
看了2013.3.15是指哪個也不寫xxx

簡單來說 Cookie 本來就是雙面刃,得失參半,
看你怎麼用而已,你要方便還是安全,這樣很好懂了吧!
Cookie 的東西 Firefox 都可以設定 <!-- s8) --><img src="{SMILIES_PATH}/icon_cool.gif" alt="8)" title="Cool" /><!-- s8) -->
Firefox 開啟安全模式,停用個人設定、佈景主題及擴充套件(無附加元件)測試:
說明 > 重新啟動但停用附加元件(Firefox 4+)
Firefox Profile: 說明 > 疑難排解資訊 > 開啟資料夾
排版引擎:Firefox(Gecko), Opera(Presto), Google Chrome(WebKit),
Safari(WebKit), Internet Explorer(Trident), Konqueror(KHTML)
fang5566
管理员
管理员
  • UID3719
  • 注册日期2005-03-07
  • 最后登录2024-06-03
  • 发帖数18483
  • 经验4837枚
  • 威望5点
  • 贡献值4316点
  • 好评度1116点
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 终身成就
6楼#
发布于:2013-03-18 21:57
taglife
現在很多網站都只用一行小字來代表经过用户同意吧,甚至只有隱私權的連結...

Cookie 的白名單我也想找一個擴展,請 fang5566 介紹一下
回到原帖


cookie monster 和 cookie manager 都有。
Firefox More than meets your experience
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-06-14
  • 发帖数2017
  • 经验532枚
  • 威望1点
  • 贡献值412点
  • 好评度22点
  • 社区居民
  • 忠实会员
7楼#
发布于:2013-03-18 21:57
自带的设置为从不记录cookie即可
对付flashcookie 在flash设置里阻止所有网站在此计算机存储信息
这次顺带黑google阿阴险无比!
My Technical Blog: http://art-technical.blogspot.com/
fiey
非常火狐
非常火狐
  • UID28955
  • 注册日期2009-05-24
  • 最后登录2013-10-05
  • 发帖数735
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
8楼#
发布于:2013-03-18 21:57
一直是默认全局禁用cookie
只有个别登陆网站放开
但禁用第三方cookie
浮舟
狐狸大王
狐狸大王
  • UID35715
  • 注册日期2011-03-26
  • 最后登录2014-06-14
  • 发帖数371
  • 经验17枚
  • 威望0点
  • 贡献值0点
  • 好评度2点
9楼#
发布于:2013-03-18 21:57
来来来,看看砖家辟谣了http://tech.sina.com.cn/i/csj/2013-03-18/19428157177.shtml
givemeakiss
小狐狸
小狐狸
  • UID35789
  • 注册日期2011-03-29
  • 最后登录2015-02-25
  • 发帖数75
  • 经验12枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 社区居民
  • 忠实会员
10楼#
发布于:2013-03-18 21:57
我记得 诺顿是有个选项叫  忽略cookies 什么的
flycomics
火狐狸
火狐狸
  • UID28928
  • 注册日期2009-05-21
  • 最后登录2022-05-10
  • 发帖数277
  • 经验91枚
  • 威望0点
  • 贡献值102点
  • 好评度3点
  • 社区居民
  • 忠实会员
11楼#
发布于:2013-03-18 21:57
要上网就不能避免用cookies,就算禁止第三方,第一方可也不能保证就是好鸟,买个房买个车什么的,房管局(或银行之类)都会卖掉你的个人信息,天天收到装修、瓷片、家装的广告……甚至还有骗子冒充房管局的名义叫你提供账号,以便退契税什么的
sjb1234
小狐狸
小狐狸
  • UID32455
  • 注册日期2010-04-02
  • 最后登录2016-01-10
  • 发帖数53
  • 经验12枚
  • 威望0点
  • 贡献值0点
  • 好评度0点
12楼#
发布于:2013-03-18 21:57
禁用第三方cookies之后,淘宝不能付款了
xoferiF
热心会员
热心会员
  • UID6559
  • 注册日期2005-06-05
  • 最后登录2020-04-24
  • 发帖数418
  • 经验24枚
  • 威望0点
  • 贡献值4点
  • 好评度1点
  • 社区居民
  • 忠实会员
13楼#
发布于:2013-03-18 21:57
因为支付宝和淘宝是两个域名吧。变成第三方了。
有没有像AdBlock那样设置白名单的功能啊?

找到了,打开了 选项里面的 每次询问,不过太土了,每次都弹窗,没有做成像“保存密码”那样的提示,默认拒绝。

打开这个选项后,太麻烦了,而且Firefox还被搞死。比如淘宝的一个页面打开cookie提示的慎入。
游客

返回顶部