详解cookies作用及缺陷

cookies的缺陷

cookie虽然被广泛的应用，并能做到一些使用其它技术不可能实现的功能。但也存在一些不够完美的方面，给应用带来不便。

多人共用一台电脑的问题

任何公共场合的电脑或者许多在办公室或家里使用的电脑，都会同时被两个以上的人使用。这样，当你用它在网上超市购物时，网上超市或网站会在这台机器上留下一个cookie，将来也许就会有某个人试图使用你的账户购物，带来了不安全的可能。当然，在一些使用多用户操作系统如windows nt或unix的电脑上，这并不会成为一个问题。因为在多用户操作系统下不同的账户的cookie分别放在不同的地方。

cookies被删除时

假如你的浏览器不能正常工作，你可能会删除电脑上所有的临时internet文件。然而，一旦这样操作以后，你就会丢掉所有的cookies文件。当你再次访问一个网站时，网站会认为你是一位新用户并分配给你一个新的用户id以及一个新的cookie。结果将会造成网站统计的新老用户比发生偏差，而你也难以恢复过去保存的参数选择。

一人使用多台电脑时

有的人一天之中经常使用一台以上的电脑。例如在办公室里有一台电脑、家里有一台、还有移动办公用的笔记本电脑。除非网站使用了特别的技术来解决这一问题，否则，你将会有三个不同的cookies文件在这三台机器上，而在三台机器上访问过的任何网站都将会把你看成三个不同的用户。

防范cookies泄密

想知道你访问的网站是否在你的硬盘或内存中写入了cookies信息吗?只需执行下面的操作步骤，就可以了解和控制你正在访问的网站的cookies信息。

步骤一 点击ie窗口中的“工具” “internet选项”，打开“internet选项”设置窗口;

步骤二 点击“internet选项”设置窗口中的“安全”标签，然后再点击“自定义级别”按钮，进入“安全设置”窗口;

步骤三 找到“安全设置”窗口中的“cookies”设置项。“cookies”设置项下有两个分选项，其中“允许使用存储在您计算机上的cookies”是针对存储在用户计算机硬盘中的cookies文件;“允许使用每个对话cookies(未存储)”是针对存储在用户计算机内存中的cookies信息。存储在硬盘中的cookies文件是永久存在的，而存储在内存中的cookies信息是临时的。要想ie在即将接收来自web站点的所有cookies时进行提示，可分别选择上面两个分选项中的“提示”项。当然，你也可以选择“启用”，允许ie接受所有的cookies信息(这也是ie的默认选项);选择“禁止”，则是不允许web站点将cookies存储到您的计算机上，而且web站点也不能读取你计算机中已有的cookies。

ie6.0提供了更为可靠的个人隐私及安全保护措施，可以让用户来控制浏览器向外发送信息的多少。在“internet 选项”窗口中新增了“隐私”选项卡，用户可以在其中直接设置浏览时的隐私级别，按需要控制其他站点对自己电脑所使用的cookies。如果我们正在浏览的站点使用了cookie，那么在浏览器状态栏中会有一个黄色惊叹号的标记，双击后可打开“隐私报告”对话框，用户可以在其中查看具体的隐私策略，还可直接点击“设置”按钮后在上述“隐私”选项卡中调节安全隐私级别。

在“常规”选项卡中还增加了“删除cookies”按钮，方便用户直接清除本机上的cookies。另外，在“工具” “选项” “高级”选项卡中也增加了一些进一步提高安全性的选项(如关闭浏览器时清空internet临时文件)。其实，如何更好地保护个人隐私和安全是微软下一代 “.net”战略软件中的关键技术，现在ie6.0已经尝试着迈出了第一步。

另外，由于cookies的信息并不都是以文件形式存放在计算机里，还有部分信息保存在内存里。比如你在浏览网站的时候，web服务器会自动在内存中生成 cookie，当你关闭ie浏览器的时候又自动把cookie删除，那样上面介绍的两种方法就起不了作用，我们需要借助注册表编辑器来修改系统设置。要注意的是，修改注册表前请作备份，以便出现问题后能顺利恢复。

运行regedit，找到如下键值：hkey_local_machine\software\microsoft\windows\currentversion\internet\ settingscachespecial pathscookies，这是cookies在内存中的键值，把这个键值删除。至此cookies无论以什么形式存在，我们都不用再害怕了。 (注：新版本windows可能已经不在此注册表目录下)

最后有必要说明的一点是：杜绝cookies虽然可以增强你电脑的信息安全程度，但这样做同样会有一些弊端。比如在一些需要cookies支持的网页上，会发生一些莫名其妙的错误，典型的例子就是你以后不能使用某些网站的免费信箱了。

cookies欺骗

通过分析cookie的格式，我们知道，最后两项中分别是它的url路径和域名，服务器对cookie的识别靠的就是这两个参数。正常情况下，我们要浏览一个网站时输入的url便是它的域名，需要经过域名管理系统dns将其转化为ip地址后进行连接。若能在dns上进行一些设置，把目标域名的ip地址对应到其它站点上，我们便可以非法访问目标站点的cookie了。

要进行cookies欺骗，其实很简单。比如在win9x下的安装目录下，有一名为hosts.sam的文件，以文本方式打开后会看到这样的格式：127.0.0.1 localhost

经过设置，便可以实现域名解析的本地化，只需将ip和域名依上面的格式添加到文件中并另存为hosts即可。hosts文件实际上可以看成一个本机的dns系统，它可以负责把域名解释成ip地址，它的优先权比dns服务器要高，它的具体实现是tcp/ip协议中的一部分。