不容忽视：挖掘Cookies背后安全隐患

　　Cookies是服务器存放在客户端上的一个文本文件，主要用来存放用户资料、帐户以及密码等相关信息。当我们访问一个需要用户名与密码才能够登陆的网页，其往往会提示用户，“是否需要保存用户名与密码”。这个信息就是保存在这个cookies文件中。

　　如当用户在浏览SOHU网站的时候，WEB服务器会发送一个小文件存放在客户端上。这个cookies会对你访问的网页内容进行一些记录，如邮件用户名与密码。如此的话，下次你再次访问的时候，就不需要再输入用户名与密码，而系统可以自动读取cookies文件中的用户名与密码，实现自动登录的功能。

　　一、设计意图。

　　现在cookies文件使用很普遍。许多网站，都提供了个性化的服务，都是通过cookies来实现的。程序员起初设计的时候，主要是出于两个目的：

　　一是给用户提供自动登录的功能。如网站上一些论坛、博客、邮件等等，都需要通过用户名与密码才能够访问。有些用户比较“懒”，他们喜欢让浏览器记住用户名与密码，从而省去他们重复输入用户名与密码的工作。

　　二是给客户提供一些个性化的服务，并且可以用来收集一些用户信息。通过cookies文件，网站服务器就可以跟踪统计用户访问某个网站的习惯。比如什么时间访问、主要关注哪些内容、在每个页面的停留时间等等。这些信息，对于用户来说可能无关紧要。但是，对于网站经营者来说，则具有非常现实的意义已。如他们可以凭借这些信息，调整自己的网站内容，以提高流量。

　　Cookies记录的相关信息虽然在客户端上是加密过的，一般用户无法直接打开查询里面的信息。但是，其仍然存在一些不可避免的安全隐患。

　　1、cookies的即时注销问题。

　　若我们现在在使用Yahoo网站的邮箱。一个用户登录进去后，没有利用网站的安全退出功能退出。而是直接把网页关闭或者直接输入新浪的网址。此时，在一段时间内，若用户再次回到Yahoo的邮箱，不用输入用户名与密码，仍然可以访问。

　　也就是说，浏览器会默认保存帐户名与密码一段时间。除非我们通过网站的“安全退出”功能，浏览器会即时删除相关的cookies信息。若是直接关闭网站或者直接在原网页中打开另一个网站，浏览器会保存cookies信息一段时间。

　　如果用户在网站等公共场所上网，其没有通过安全退出功能，则其邮箱、博客、论坛等等，很可能被后来的用户所冒用，进行一些非法的操作，从而给用户带来一定的损失。故只要用户没有安全注销，则在cookies会话没有超时之前，再回来，仍然具有原先的操作权限。到目前为止，这是cookies本身的弊病，还没有很好的方法可以实现自动注销，即在网页关闭的时候，自动清除cookies中的帐户名与密码信息。

　　解决方法：

　　不少网站也已经注意到这方面的安全隐患。所以在一些网站的邮件、博客、论坛等页面，都有一个“安全退出”的功能。若用户在退出某个网页的时候，不是直接关闭或者直接转接到其它网站，而先是