什麼是Web Cookie以及它們如何連接到您的密碼

你們大多數人現在可能已經承認，在互聯網上保持匿名對於普通用戶來說幾乎是不可能的。使用一個稱為cookie的小文件，在線服務提供商可以在極短的時間內學到很多關於你的信息。但這是件壞事嗎？

Cookie：善與惡

請考慮以下示例：您需要一台新的筆記本電腦，並且您需要花一些時間在亞馬遜上查看它提供的內容。可悲的是，您感興趣的機器超出了您的預算，您決定購買需要等待。然而，幾天后，亞馬遜組織了一次大規模的銷售活動，您可以通過完全不同的網站上的廣告了解這一消息。感謝一個小餅乾，廣告代理商會看到您感興趣的內容，並且它為您提供了大量討價還價的機會。

正如你所看到的，雖然它們在過去幾年中已經形成了一些不好的名聲，但餅乾並不總是邪惡的。也就是說，所有這些跟踪有時會變得有點令人毛骨悚然。

許多不同的因素會影響目標廣告的積極性，包括但不限於您的瀏覽習慣。如果它開始感覺像是侵犯了隱私，您可能需要考慮使用瀏覽器的隱私瀏覽模式和反跟踪功能，尤其是在您不確定的網站上。

如果您選擇完全禁用cookie，亞馬遜，Facebook和其他矽谷巨頭將更加難以跟踪您的行動。但是會有副作用。

Cookies和您的在線帳戶

如果禁用cookie，大多數現代網站實際上都不起作用，那些會給你一個完全不同的體驗。默認情況下，當您登錄在線帳戶時，網站會發送一個保存在硬盤上的cookie。下次訪問同一網站時，Web應用程序會檢查是否存在所述cookie，讀取其內容，如果一切正常，則可以讓您使用您的帳戶，而無需再次輸入密碼。換句話說，cookie可以讓我們不必一直輸入我們的登錄憑據。

這是否意味著我們的用戶名和密碼存儲在其中？

您可以通過在cookie中寫入用戶憑據並將其保存在設備上來使系統正常工作。這樣，當他們回來時，將返回cookie，驗證登錄憑據，並且Web應用程序將允許他們進入他們的帳戶。

這有很多問題。首先，如果系統要工作，您需要以純文本或可恢復的格式存儲人們的密碼。 正如我們在這些頁面上多次提到的那樣，這是一個非常糟糕的主意。

第二個問題來自於在cookie中丟棄敏感信息是不可取的。餅乾在飛行途中很難攔截，從硬盤中抓取它們是微不足道的。這就是原因，安全專家說，即使是加密格式，也不應將密碼放在cookie中。

保持用戶登錄的正確方法

針對在cookie中保存密碼的第三個也是最後一個案例是最強的 - 有一種更好的方法可以讓人們登錄. 它已存在多年，幸運的是，它現在被大多數網站和服務提供商使用。

用戶在新設備上輸入用戶名和密碼後，網站的後端會驗證登錄憑據並生成一個特殊令牌，通常是由幾十個字母和數字組成的字符串。令牌可能會被指定到期日期，也可能與用戶的IP地址相關聯。

然後將其寫入後端數據庫和保存在用戶設備上的cookie中。下次訪問時，Web應用程序將打開cookie，讀取令牌，並將其與數據庫中的值進行比較。如果匹配，則用戶已登錄。除了將用戶密碼保留在黑客手中之外，令牌的使用還提供了其他機制，使得帳戶劫持更加困難。它不能保證騙子會留在外面，但它比將密碼放入cookie更好，而且網站管理員沒有理由使用較舊的，不太安全的方法。

近年來，我們已經看到圍繞cookie的大量隱私問題。有些妄想是有道理的，有些不是。然而，事實是，如果沒有cookie，就不可能進行現代互聯網衝浪。更重要的是，在正確構建的系統中，簡陋的cookie實際上可以幫助保護用戶。