一時(shí)間“cookie”這個(gè)平時(shí)只有技術(shù)人員才關(guān)注的名詞，引起了多方關(guān)注。它看上去離我們很遠(yuǎn)，其實(shí)很近：只要上網(wǎng)，就要接觸cookie。上網(wǎng)時(shí)，你電腦的IP、點(diǎn)擊行為、輸入網(wǎng)站的信息等，如果網(wǎng)站認(rèn)為有需要，便會(huì)將這些信息寫(xiě)到你電腦的一個(gè)文件夾里面。此后當(dāng)你每次訪問(wèn)該網(wǎng)站時(shí)，相關(guān)的cookie記錄便會(huì)自動(dòng)回傳到網(wǎng)站。網(wǎng)站也可以更改或清除你電腦上已經(jīng)被記錄的cookie。用手機(jī)瀏覽器上網(wǎng)時(shí)，也會(huì)使用到cookie。

信息時(shí)代，人們享受互聯(lián)網(wǎng)便利的同時(shí)，也在把自己更多地暴露在別人的注意力之下。越來(lái)越多的人都在接觸cookie技術(shù)，因此有關(guān)cookie的話(huà)題才會(huì)引起如此關(guān)注。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，簡(jiǎn)稱(chēng)CNNIC）最新發(fā)布的《第31次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2012年底，我國(guó)網(wǎng)民共有5.64億，互聯(lián)網(wǎng)普及率占到人口總數(shù)的42.1%。而隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，這個(gè)趨勢(shì)將延續(xù)。另?yè)?jù)CNNIC的數(shù)據(jù)，截至去年底，我國(guó)手機(jī)網(wǎng)民的規(guī)模為4.2億，網(wǎng)民中使用手機(jī)上網(wǎng)的用戶(hù)占比由上年底的69.3%提升至74.5%。

相對(duì)于互聯(lián)網(wǎng)的飛速發(fā)展，與之相關(guān)的隱私保護(hù)法律和行業(yè)規(guī)定顯得滯后。關(guān)于cookie，到底誰(shuí)能操作、能否公開(kāi)、用戶(hù)對(duì)cookie的控制權(quán)和知情權(quán)等問(wèn)題，國(guó)內(nèi)的法律法規(guī)和行業(yè)約定幾乎是空白，而歐美已有相關(guān)的立法和案例。如2012年5月，歐盟法律做出明確規(guī)定，如果用cookie追蹤用戶(hù)的使用習(xí)慣，網(wǎng)站必須取得使用者的“明確同意”。

那么cookie究竟是啥？這個(gè)名為“小甜餅”的技術(shù)，最初是程序之間交流的一種數(shù)據(jù)包，在互聯(lián)網(wǎng)上是一種基于瀏覽器和網(wǎng)站的技術(shù)，主要目的是為了讓網(wǎng)站記錄用戶(hù)的一些信息，以便用戶(hù)下次訪問(wèn)網(wǎng)站時(shí)能認(rèn)出他。 Cookie的出現(xiàn)最初是為了解決實(shí)際問(wèn)題：為了網(wǎng)站開(kāi)發(fā)人員能方便地“記住”用戶(hù)，可在用戶(hù)每次訪問(wèn)時(shí)提供更方便、更有針對(duì)性的功能。就像《賤人就是矯情》那篇科技博客里說(shuō)的那樣，不會(huì)讓大老爺們看到彈力貼身衛(wèi)生棉的廣告。

《打造Facebook》的作者王淮認(rèn)為，cookie就是一種工具。不應(yīng)該打壓這種工具本身，而是應(yīng)該打壓利用這種工具的惡意行為。知名互聯(lián)網(wǎng)觀察家、5G咨詢(xún)合伙人洪波也認(rèn)為，從Facebook、谷歌來(lái)看，互聯(lián)網(wǎng)的發(fā)展正是以犧牲所謂的隱私來(lái)?yè)Q取個(gè)性化和精準(zhǔn)化的體驗(yàn)，在不對(duì)用戶(hù)造成困擾的情況下，用戶(hù)應(yīng)看輕隱私問(wèn)題，提升隱私容忍度。博客中國(guó)創(chuàng)始人方興東也指出，媒體對(duì)cookie的片面化、簡(jiǎn)單化、妖魔化的報(bào)道，引起用戶(hù)無(wú)謂的恐慌，不利于認(rèn)清與解決問(wèn)題。Cookie的有效合理使用，是互聯(lián)網(wǎng)的優(yōu)勢(shì)所在，也是互聯(lián)網(wǎng)的價(jià)值，不能把cookie問(wèn)題簡(jiǎn)單化絕對(duì)化，應(yīng)該防止濫用，而不是不用。

它確實(shí)帶來(lái)了便利。自動(dòng)登錄是怎么實(shí)現(xiàn)的呢？當(dāng)用戶(hù)第一次選擇自動(dòng)登陸時(shí)，網(wǎng)站會(huì)在cookie里存儲(chǔ)一個(gè)隨機(jī)碼；下次訪問(wèn)時(shí)網(wǎng)站會(huì)將瀏覽器上傳cookie的隨機(jī)碼和服務(wù)器數(shù)據(jù)庫(kù)中保存的隨機(jī)碼進(jìn)行比對(duì)，如果吻合則直接登錄。同時(shí)網(wǎng)站的“在本機(jī)上記住我”、“一個(gè)月內(nèi)不再輸入”等提示、用戶(hù)設(shè)定為自動(dòng)填充的賬號(hào)和密碼；還有視頻網(wǎng)站在用戶(hù)退出情況下保存的觀看歷史、購(gòu)物網(wǎng)站在用戶(hù)退出登陸情況下仍保留的購(gòu)物車(chē)；網(wǎng)站的注冊(cè)頁(yè)面可以看到的輸入框的下拉提示；手機(jī)訪問(wèn)百度時(shí)，下拉框的歷史記錄所有這些功能都利用了cookie技術(shù)。

Cookie技術(shù)設(shè)計(jì)本身其實(shí)充分考慮了安全性，盡管當(dāng)時(shí)對(duì)此并沒(méi)有任何規(guī)定。比如A網(wǎng)站存儲(chǔ)的cookie，只有A網(wǎng)站才可以讀取；另外cookie也是有“保質(zhì)期”的，網(wǎng)站可以在任何一次訪問(wèn)時(shí)清理掉用戶(hù)設(shè)備上的cookie。同時(shí)cookie被限制在4k的容量?jī)?nèi)，這意味著所能存儲(chǔ)的信息非常有限；cookie傳遞過(guò)程支持加密數(shù)據(jù)傳送等。

然而由于與操作系統(tǒng)、瀏覽器、網(wǎng)站和網(wǎng)絡(luò)這四個(gè)因素密切相關(guān)，這使cookie存在很多敞口風(fēng)險(xiǎn)。事實(shí)上通過(guò)網(wǎng)站的服務(wù)器端代碼、瀏覽器、網(wǎng)站在瀏覽器上的腳本都可以抓取到cookie，第三方cookie查看軟件、桌面軟件如記事本、黑客使用的抓包工具通這些途徑也能看到cookie。因此這四個(gè)因素中任何一個(gè)環(huán)節(jié)存在漏洞都可能導(dǎo)致cookie的不安全。

Cookie能存什么信息是由網(wǎng)站決定的。如果網(wǎng)站愿意，可以將用戶(hù)的賬號(hào)、密碼等任何文字信息存儲(chǔ)到cookie。因此如果網(wǎng)站存在缺陷，比如將密碼直接明文存到cookie，或者允許第三方代碼訪問(wèn)自己用戶(hù)的cookie，并且對(duì)第三方代碼不加以審核控制，都可能出現(xiàn)安全問(wèn)題，更不用說(shuō)如果網(wǎng)站直接將擁有的cookie數(shù)據(jù)售賣(mài)。正常的網(wǎng)站，不但自己不會(huì)濫用cookie，還會(huì)處處考慮用戶(hù)在上網(wǎng)環(huán)境、操作系統(tǒng)、瀏覽器、網(wǎng)絡(luò)環(huán)境等潛在的異常情況，并防患未然，做好相關(guān)設(shè)計(jì)以避免cookie被泄露，比如做加密傳送、有效期設(shè)置、提醒等。

2011年，國(guó)外研究人員發(fā)現(xiàn)IE瀏覽器存在名為cookiejacking的安全漏洞，容易導(dǎo)致網(wǎng)絡(luò)賬號(hào)和密碼泄露，最新版IE已修復(fù)該問(wèn)題。像支付寶這樣對(duì)安全性要求極高的網(wǎng)站，則直接開(kāi)發(fā)了一個(gè)瀏覽器控件，也可以實(shí)現(xiàn)記住用戶(hù)賬號(hào)的目的。

Cookie和網(wǎng)站安全性設(shè)計(jì)的前提都是：瀏覽器是安全的，是不會(huì)偷窺用戶(hù)私密數(shù)據(jù)的。如果瀏覽器存在漏洞，就可能給黑客可乘之機(jī)，獲取cookie文件。另外瀏覽器主觀偽造、利用用戶(hù)cookie，在技術(shù)上也是可行的。

由于cookie對(duì)操作系統(tǒng)開(kāi)放， 所以第三方軟件甚至記事本也可以查看到電腦上的cookie內(nèi)容。如果操作系統(tǒng)有漏洞或者Office軟件有漏洞等，都可能導(dǎo)致cookie不安全。比如密碼，雖然用“*”型代替了，但通過(guò)“星號(hào)密碼查看器”這種小軟件就可以輕松破解。

Cookie的另一重風(fēng)險(xiǎn)，則是隨意接入未知的Wi-Fi網(wǎng)絡(luò)。雖然幾率很小，但如果遇到隱藏的釣魚(yú)Wi-Fi，黑客們也會(huì)守株待兔，等著借此抓取用戶(hù)數(shù)據(jù)包，也包括cookie。2012年沈陽(yáng)警方和上海警方證實(shí)了釣魚(yú)Wi-Fi存在。一旦聯(lián)入，黑客在15分鐘之內(nèi)就可以竊取上網(wǎng)用戶(hù)的個(gè)人信息和密碼，包括網(wǎng)銀密碼、炒股賬號(hào)密碼等。黑客的作案場(chǎng)所基本在提供免費(fèi)上網(wǎng)的地方。當(dāng)然還有人為因素，如果你身邊的人使用你的電腦，有心且懂技術(shù)，更可直接通過(guò)第三方軟件查看和分析電腦上的cookie數(shù)據(jù)。

如果真的像315晚會(huì)說(shuō)的那樣，對(duì)cookie所有者而言又有什么危害？舉個(gè)例子，如果打印文件被泄露了會(huì)有什么后果？這要看你打印的具體內(nèi)容是什么，以及泄露給誰(shuí)了。同樣是打印文件，如果內(nèi)容是商業(yè)機(jī)密，并泄露給了競(jìng)爭(zhēng)對(duì)手，那么后果就很?chē)?yán)重了。雖然是小概率事件，但隱私和安全問(wèn)題一樣，一旦發(fā)生后果卻很?chē)?yán)重。我們可以把cookie想像成是通過(guò)瀏覽器“打印”的文件。Cookie泄露會(huì)有什么后果，關(guān)鍵在于被人看到了什么、以及誰(shuí)看到了。 然而從隱私的角度出發(fā)，或許很少有人愿意不經(jīng)允許地被窺視、被分析。

理論上來(lái)說(shuō)，地域、性別等信息的私密程度較低；瀏覽歷史、用戶(hù)名等信息稍微敏感；如果涉及到密碼、姓名等信息則極度私密了。如果是廣告公司做精確營(yíng)銷(xiāo)，問(wèn)題不是那么嚴(yán)重，因?yàn)樗麄冎恢烙羞@么個(gè)人，更確切說(shuō)有“這么一臺(tái)電腦”，很難知道這個(gè)人究竟是誰(shuí)。這如同“七成網(wǎng)民曾瀏覽過(guò)色情網(wǎng)站”和“張同學(xué)經(jīng)常瀏覽成人網(wǎng)站”的區(qū)別。但如果是調(diào)查公司拿到這些數(shù)據(jù)，問(wèn)題就不一樣了：他們可能通過(guò)cookie找到具體個(gè)人，商業(yè)偵探也可能通過(guò)cookie的關(guān)聯(lián)提取出來(lái)很多商業(yè)信息。

作為無(wú)法脫離互聯(lián)網(wǎng)的普通人，我們?nèi)绾闻ccookie和平共處？首先使用在業(yè)界知名度高，值得信任的網(wǎng)站；并且不同網(wǎng)站要使用不同的賬號(hào)和密碼。不要提交私密信息給不信任的網(wǎng)站，包括姓名、身份證號(hào)、住址、公司、銀行賬號(hào)信息等。

鑒于瀏覽器是cookie的基礎(chǔ)，因此使用一款安全的瀏覽器非常重要，慎重使用不知名的瀏覽器。瀏覽器是否安全有哪些指標(biāo)呢？除了不會(huì)亂收集數(shù)據(jù)，還應(yīng)具有設(shè)置安全、隱私、防追蹤等的能力。

如果不是技術(shù)專(zhuān)家，最好不要“裸奔”，一定要裝安全軟件，包括可靠的殺毒軟件和安全管理軟件，同時(shí)建議使用正版操作系統(tǒng)和正版軟件，并及時(shí)給操作系統(tǒng)打補(bǔ)丁，減少漏洞。這樣就可以確保cookie不會(huì)在操作系統(tǒng)層面被泄露。

如果對(duì)安全要求高，還要定期清理cookie或者使用一些特殊設(shè)置。360、QQ電腦管家等軟件清理瀏覽器cookie。實(shí)際上IE瀏覽器可以設(shè)置為不使用cookie，不過(guò)操作比較復(fù)雜。但包括QQ瀏覽器等都有隱私瀏覽功能或者“退出時(shí)清理”這類(lèi)設(shè)置，不會(huì)使用和記錄cookie。

如果315晚會(huì)對(duì)cookie的關(guān)注，能引起人們對(duì)互聯(lián)網(wǎng)安全和隱私的重視，則必將促進(jìn)整個(gè)互聯(lián)網(wǎng)行業(yè)的發(fā)展。這將促使下一個(gè)版本的瀏覽器、安全軟件可以為用戶(hù)提供更有效的保護(hù)，需求永遠(yuǎn)是第一推動(dòng)力。