專家研新方法提升 cookies 安全性
一直以來,來自不同網址的 cookie 並不可共用,這全因安全性方面的考慮;儘管有人認為第三方 cookie 封鎖政策其實是頗為(麻煩)安全的,但此定律仍未曾因小部份的用戶(黑客)抱怨而讓步。
讓我舉個簡單例子吧。當你瀏覽了 abc.com,而該網站本身透過 cookie 存放/建立一個 aabbcc.com 的紀錄,為了安全考慮,基本上系統便會禁止有關 cookie 的存取行為,事關用戶瀏覽的是 abc.com,照理其建立的 cookie 內容應該來自 abc.com,而非來自另一個網址。
不過有些情況下,例如某家公司本身擁有兩個不同的網站,但卻因為某種原因(例如希望增加用戶方便性),因此夢想般的希望來自兩個完全不相同的 domain cookie 亦能互相兼容,從此令來自兩個不同 domain 的 cookie 仍可互相共用,幸好現時 cookie 仍未可共用,否則必定苦了一眾用戶。
如何區分那些是正常 cookie,那些是不正常 cookie?如何讓不同 domain 的 cookie 可在單一網站之中執行而不被封鎖,從而達到某些用途?為了達到最準確無誤及提升安全性,目前只可靠人手作檢查,而近日 Stanford 便開始為網絡上的 cookie 建立一個允許存取名單 Cookie Clearinghouse (CCH),透過名單將能確保所使用的 cookie 的安全性。
現時 Mozilla 與 Opera 正參與有關計劃,希望透過長期收集不同的 cookie 並加以分析,從而建立一個安全 cookie 名單。不過相信仍需一段時間大家才可見到有關功能被附加在瀏覽器之中。