伴随着网络应用的不断深入,无论是日常生活还是平时办公,我们感觉到对因特网的依赖性是越来越强了;这不,在线交易、收发邮件、上网购物、视频聊天等等,这些上网冲浪活动都需要强大因特网的支持。不过,在尽情享受上网冲浪乐趣的同时,我们也要时刻关注上网行为的安全,因为稍微不注意,就可能给自己带来不必要的麻烦,甚至会给自己造成直接的经济损失。为了保证网络交易的安全,相信很多人都会启用非常复杂的登录账号与密码,并且每隔一段时间,都要变换账号与密码;但是,单靠变换账号内容还是不够的,我们还需要对许多细节因素多加留心。比方说,在登录网上个人银行完成交易任务后,如果我们不注重安全退出细节,那么IE浏览器的Cookie就可能会给自己带来安全麻烦,这是为什么呢?相信本文下面的内容会给大家一个满意的答案!
Cookie的潜在安全威胁
大家都知道,Cookie其实就是网站服务器临时保存在终端电脑上的一份信息,这份信息内容会被默认存储到终端系统“X:\Documents and Settings\Administrator\Cookies”文件夹中(其中“X”为系统分区盘符),日后网站服务器可以通过这份信息快速识别用户的终端电脑。当用户上网浏览目标网站中的页面内容时,对应网站服务器就会自动先发送一些识别信息存放到终端计算机上,Cookie日后会自动帮助用户记录一些在网站表单中填写的内容信息,这些信息很多时候都是涉及到自身的一些隐私信息,例如年龄、出生年月、手机号码、登录名称、访问密码、单位名称、通信地址、银行账号等等,这些信息要是不小心被他人窃取的话,那么危险性是相当大的。
Cookie自动记录好网站表单内容后,当用户下次再访问这个目标网站时,那么对应网站的服务器系统就会自动检查该终端计算机系统,看看是否存在之前生成的Cookie文件信息,要是找到这个文件的话,服务器系统就会根据该文件中的内容,返回特定的网页内容给用户浏览。尽管Cookie文件具有智能记忆功能,不过它在给用户带来方便的同时,也会给用户带来潜在的安全威胁,因为用户在登录目标服务器时,填写的用户名与密码信息,会被自动记录保存到Cookie文件中,而该文件中的信息是可以被网站服务器自动调用、访问的。非法用户可以十分轻松地利用类似CookiePall具来偷偷查看Cookie文件中的任何信息,这么一来记录在Cookie文件中的账号、密码等隐私内容,就能被非法用户直接得到,那样的话后果将是非常严重的。
当然,除了Cookie会自动记忆账号用户名与密码等隐私信息外,如果用户在终端电脑中对上网浏览器进行设置,启用它的磁盘缓存功能时,那么该功能也可以把用户在登录网站时填写的表单内容自动记忆下来,并保存在对应系统的磁盘缓存中,同时上网浏览过的图像、页面等内容,也会被自动存放到目标磁盘缓存中,而且系统还会自动对这些缓存下来的数据内容建立文件索引。以后上网浏览器再次工作时,会自动先检查本地磁盘缓存中是否存在相同的数据信息,要是检查存在的话,那么上网浏览器就会直接从本地磁盘缓存中调用数据信息,而不需要从网上下载传输信息,这样就可以有效提高上网浏览效率。缓存按照位置存放的不同,可以分成两种类型,一种是硬盘缓存,另外一种是内存缓存。其中硬盘缓存主要是用来存储上网用户前面几次冲浪时所访问过的数据内容,该缓存位置通常位于“X:\Documents andSettings\Administrator\Local Settings、TemporaryInternet Files”文件夹中(其中“X”为系统分区盘符),大家从浏览器历史记录中看到的内容,实际上就是来自硬盘缓存;只要大家设置的硬盘缓存容量空间足够大,那么上网用户几天前、几个星期前甚至几个月前访问的数据内容,都能被保存记忆下来。内存缓存主要是用来临时存储本次上网浏览时访问过的数据内容,从网络中下载传输过来的任何数据内容,都有一个副本存储在终端系统的内存缓存中,大家通过单击浏览器工具栏中的“返回”、“向前”按钮,其实就是从内存缓存中调用数据内容;一般来说,系统内存缓存的容量越大,那么存储的数据信息量也就越大。
之所以在这里同时提到系统缓存,主要是被Cookie自动记忆的登录账号名称与密码等隐私内容,也会同时存储到系统缓存中,日后要防止Cookie带来安全麻烦时,也要记得防止系统缓存对外泄露隐私,否则安全防范效果就不够理想。
小提示:Cookieig,录着用户的帐户ID、密码之类的信息,如果在网上传递,通常使用的是MD5方法加密。这样经过加密处理后的信息,即使被网络上一些别有用心的人截获,也看不懂,因为他看到的只是一些无意义的字母和数字。然而,现在遇到的问题是,截获Cookie的人不需要知道这些字符串的含义,他们只要把别人的Cookie向服务器提交,并且能够通过验证,他们就可以冒充受害人的身份,登陆网站。这种方法叫做Cookie欺骗。Cookie欺,骗实现的前提条件是服务器的验证程序存在漏洞,并且冒充者要获得被冒充的人的cookie信息。目前网站的验证程序要排除所有非法登录是非常困难的,例如,编写验证程序使用的语言可能存在漏洞。而且要获得别A,Cookie是很容易的,用支持Cookie的语言编写一小段代码就可以实现,只要把这段代码放到网络里,那么所有人的Cookie都能够被收集。如果一个论坛允许HTM L代码或者允许使用Flash标签就可以利用这些技术收集cookie的代码放到论坛里,然后给帖子取一个吸引人的主题,写上有趣的内容,很快就可以收集到大量的Cookie。在论坛上,有许多人的密码就被这种方法盗去的。
安全退出交易页面
既然用户在网页中填写的各种账号名称与密码,都会被自动记录保存到Cookie文件和系统缓存中,一旦恶意用户对Cookie文件和系统缓存进行监控的话,那么用户在网上的交易就不安全了吗?的确如此,恶意用户如果能从上述位置处窃取得到用户的登录账号名称和密码内容,那么用户的隐私信息就会被暴露,甚至他们还会利用偷窃来的账号去干一些违法的事情。那么如何才能在上网浏览或在线交易的时候,防止Cookie或缓存给自己带来安全麻烦呢?下面,我们以登录中国工商银行的个人银行页面为例,来介绍一下如何清除保存在Cookie文件和系统缓存
中的账号名称与密码等隐私信息。
使用IE浏览器打开中国工商银行的个人银行页面,输入银行账号、登录密码以及验证码信息,在确认这些信息输入无误后,单击“登录”按钮,当登录操作成功后,我们会在个人银行交易页面中看到自己的开户名以及其他一些隐私信息,同时会在该页面的右上角出现一个“退出”按钮。此时,我们打开本地电脑系统的“X:\Documents andSettingsKAdministrator\Cookies”文件夹,根据文件修改时间属性信息,就会发现“Cookies”文件夹中自动多了几个文件,这些文件就是我们在填写个人银行表单信息时生成的内容。这个时候,要是我们直接关闭IE浏览器窗口退出中国工商银行的个人网上银行页面,之后重新启动IE浏览器程序,打开个人网上银行登录页面,就会发现不需要输入银行账号、登录密码以及验证码信息,就能直接进入银行交易页面了,这就是IE浏览器程序自动调用Cookie文件或系统缓存的结果。
对于上述现象,也许有人会说,在关闭IE浏览器窗口后,我们只要进入“X:\Documents and Settings\Administrator\Cookies”文件夹窗口,将最近生成的几个Cookie文件全部删除掉,那不就可以保护自己的账号隐私了吗?或者说直接设置一下浏览器,关闭它的Cookies功能,让该功能不能自动记忆账号与密码,不就保证上网交易的安全了吗?可是,当我们按照上面的操作进行尝试时,发现关闭IE浏览器窗口,再重新登录中国工商银行个人网上银行交易页面时,还是不需要输入银行账号、登录密码等信息。这是什么原因呢?此时上网浏览器又是从哪里调用登录账号与密码的呢?其实,在手工删除Cookie文件之后,上网浏览器可能会从系统的硬盘缓存或内存缓存的某个文件中,调用得到登录银行账号与密码信息;当然,具体的调用位置我们可能并不能弄清楚,不过,这其实并不是十分重要,重要的是我们了解了上述现象的形成原因。既然在删除Cookie文件或关闭Cookie功能的情况下,登录账号与密码仍然还是留下了痕迹,那么我们究竟该如何才能保证上网交易的安全呢?
事实上,中国工商银行个人网上银行交易页面已经为用户提供了“退出”按钮,单击该按钮就能保证安全退出上网交易页面了,这是为什么呢?当我们尝试单击交易页面中的“退出”按钮后,再打开本地系统的“X:\Documents andSettingsNAdministrator\Cookies”文件夹时,发现新增加的Cookie文件修改日期是退出交易页面的时间,也就是说在退出交易页面的时候,中国工商银行网站服务器会自动清除保存在Cookie文件中的登录账号与密码,同时也会清除干净系统缓存中的相关记录痕迹;这时,我们再次重新打开中国工商银行个人网上银行交易页面时,就会发现目标网站要求用户必须输入银行账号、密码等隐私信息了,这么一来网上银行交易页面就算是安全退出了。
深入解密安全退出原因
既然简单地单击网站提供的“退出”按钮,就能保证安全退出网上银行交易页面了,那么在单击“退出”按钮后,上网浏览器究竟在背后做了哪些方面的安全防范措施呢?
为了对这种现象进行一番研究,我们在成功登录进入中国工商银行个人网上银行交易页面后,依次单击上网浏览器的“文件”“导入和导出”命令,弹出导入和导出向导对话框,单击其中的“下一步”按钮,打开如图1所示的设置对话框,选中“导出Cookie”选项,继续单击“下一步”按钮,再设置好具体的导出路径,也就是指定好Cookie文件的保存位置,最后单击“完成”按钮结束Cookie文件的导出操作。
Cookie文件被成功导出来后,我们发现该文件默认会被设置txt格式的文本文件,使用记事本程序就能直接打开,从弹出的文件编辑窗口中,我们能够轻易地找到登录个人网上银行的登录账号以及其他一些隐私信息。之后,我们再返回到中国工商银行个人网上银行交易页面,单击其中的“安全退出”按钮(如图2所示),来暂时退出交易页面;这时候,再按照相同的操作步骤,重新将上网浏览器的Cookie信息导出保存成普通的文本文件,同时使用记事本程序打开该文件,经过仔细对比,我们发现这时候生成的Cookie文件,已经找不到刚才登录网上银行交易页面的账号、密码以及其他隐私信息了,这说明网上银行服务器已经通过“退出”功能按钮,自动清除了保存在Cookie文件中的账号、密码等隐私信息了。不仅如此,保存在系统硬盘缓存以及内存缓存中的账号与密码等信息,也能被网上交易页面提供的“退出”功能按钮自动清除干净。
经过上述分析,我们认为日后要善于使用网上交易页面自带的“退出”按钮,来保证自己在退出交易页面时,自动清除干净在上网冲浪过程中遗留下来的隐私信息,这样就能确保上网冲浪安全无忧了。
