那我們來看看網(wǎng)易是不是僅僅記錄了用戶上網(wǎng)行為。看cm_newmsg那條Cookie,它記錄了我的郵箱用戶名:tester(這是我涂改過的),而且記錄了我一共有2139封郵件其中472封未讀。這完全是我的個人隱私。網(wǎng)易的廣告商有什么權(quán)利知道我還有472封信件沒有讀?
這還不是Cookie被泄露最可怕的事情。在上圖中,有一個后面帶著“HttpOnly”字樣的東西,它叫NTES_SESS。這是一個Session Cookie。所謂的Session Cookie,就是網(wǎng)站用以唯一標(biāo)識用戶身份的“密碼”。之所以用戶輸入一次用戶名密碼后就不需要每次打開新頁面都輸入,就是因為網(wǎng)站靠這個Session Cookie識別出來該用戶已經(jīng)登陸過了。這也是網(wǎng)易大聲告訴”賤人”們的事實之一。
沒錯,這其實是Cookie最最重要的用途。但它也是最最危險的。因為別人一旦知道了你的Session Cookie,他就可以偽裝是你!你可以不介意飯館的老板把你愛吃土豆的事情告訴其他的餐館老板,但你能夠接受有人以你的名義去飯館吃飯,然后把帳算到你的頭上嗎?
獲得了Session Cookie,就得到了網(wǎng)站的完全信任。他可以查看你的郵件,以你的身份發(fā)微博,甚至以你的身份消費。
因為這個Session Cookie如此重要,網(wǎng)易在這里加了兩把鎖:第一,這個session很長,足足有161個字符。第二,則是加了HttpOnly的標(biāo)志。這個標(biāo)志可以禁止那些廣告商嵌入的代碼獲得這個Cookie。也就是說,其他的Cookie可以拿走,這個Cookie不可以。
但這樣就夠了嗎?HttpOnly這個標(biāo)志,從誕生之日起,就是黑客的眼中釘。不斷的有瀏覽器的漏洞被發(fā)現(xiàn),可以繞過HttpOnly。直到2012年6月,還有人發(fā)現(xiàn)新的Java中的漏洞,可以無視HttpOnly,盜取Session Cookie。對于如此要命的Session Cookie,再加幾把鎖都不夠。
作為擁有數(shù)以億計用戶的網(wǎng)站,將Cookie數(shù)據(jù)賣給他人,是將億萬用戶的安全置于不顧。也許在某些人眼中,這些用戶不過是些”賤人”,理當(dāng)如此?
想認識全國各地的創(chuàng)業(yè)者、創(chuàng)業(yè)專家,快來加入“中國創(chuàng)業(yè)圈”
|
