那我们来看看网易是不是仅仅记录了用户上网行为。看cm_newmsg那条Cookie,它记录了我的邮箱用户名:tester(这是我涂改过的),而且记录了我一共有2139封邮件其中472封未读。这完全是我的个人隐私。网易的广告商有什么权利知道我还有472封信件没有读?
这还不是Cookie被泄露最可怕的事情。在上图中,有一个后面带着“HttpOnly”字样的东西,它叫NTES_SESS。这是一个Session Cookie。所谓的Session Cookie,就是网站用以唯一标识用户身份的“密码”。之所以用户输入一次用户名密码后就不需要每次打开新页面都输入,就是因为网站靠这个Session Cookie识别出来该用户已经登陆过了。这也是网易大声告诉”贱人”们的事实之一。
没错,这其实是Cookie最最重要的用途。但它也是最最危险的。因为别人一旦知道了你的Session Cookie,他就可以伪装是你!你可以不介意饭馆的老板把你爱吃土豆的事情告诉其他的餐馆老板,但你能够接受有人以你的名义去饭馆吃饭,然后把帐算到你的头上吗?
获得了Session Cookie,就得到了网站的完全信任。他可以查看你的邮件,以你的身份发微博,甚至以你的身份消费。
因为这个Session Cookie如此重要,网易在这里加了两把锁:第一,这个session很长,足足有161个字符。第二,则是加了HttpOnly的标志。这个标志可以禁止那些广告商嵌入的代码获得这个Cookie。也就是说,其他的Cookie可以拿走,这个Cookie不可以。
但这样就够了吗?HttpOnly这个标志,从诞生之日起,就是黑客的眼中钉。不断的有浏览器的漏洞被发现,可以绕过HttpOnly。直到2012年6月,还有人发现新的Java中的漏洞,可以无视HttpOnly,盗取Session Cookie。对于如此要命的Session Cookie,再加几把锁都不够。
作为拥有数以亿计用户的网站,将Cookie数据卖给他人,是将亿万用户的安全置于不顾。也许在某些人眼中,这些用户不过是些”贱人”,理当如此?
想认识全国各地的创业者、创业专家,快来加入“中国创业圈”
|
