前几天,去"有间"发廊理发,人很多,理发小哥建议办张会员卡,可以VIP通道免排队,还有充599送100的优惠,适逢月初,还没到吃土的时节,充值600,办了会员卡...
会员卡
VIP编号 | 20171011
会员姓名| 昭昭
有效期至| 2018年12月31日
我相当于浏览器客户端,发廊相当于网站服务端;
cookie相当于会员卡;网站产生cookie,由客户端保存;
我以后每次去"有间"发廊要带上会员卡,浏览器客户端,每次向网站发送请求,要带上cookie;
一个月后,我又去理发,换了理发师,为了证明"尊贵的身份",我默默亮出了会员卡...
为什么要使用cookie?
为了避免频繁的登录操作,还能证明我们的身份!
我们浏览网站资源(去理发),只需登录一次(办一次卡),就可以在一定的时限内(2018年12月31日前),随意访问网站的网页(红毛/黄毛/紫毛/烫头/光头/半光头,任你挑...)
我充值了599,会员卡没有注明充值的金额,事实上,发廊也不可能把"余额"信息存在卡片里,如果"余额"被人随意篡改,<"有间"发廊>就会变成<"从前有间"发廊>...
关于session
同理,网站给我们的cookie只是存储了"证明"我们身份的信息,不会把重要的信息存放到cookie中;你可能会问:重要的信息存在哪儿? 答:重要信息存在session中! session由网站数据库保存,保障了信息的安全! session依赖于cookie(正如卡内的"余额"依赖于会员卡)
身份证会采集我们很多的个人信息(指纹,DNA),全面验证我们的个人身份;会员卡只有很少的个人信息,如果手滑把会员卡丢了,其他人获得后,可以直接使用...
cookie的"盗用":
我开通了"某度文库"会员,登录后,我的cookie就有了访问"会员专属"资源的权限,如果有人"盗用"了我的cookie,就可以在不知道我账户和密码的前提下,以我的身份登录网站,下载"会员专属"资源...
更深一点(假的ATM机:CSRF):
我们的浏览器对于不同网站的cookie是分开存放的,浏览器会根据请求的域名判定,发送不同的cookie(进不同的店,用不同的会员卡!),但这种机制并不安全,比如百度的网站内的某张图片,嵌入了新浪的链接(这个链接可以是一个get请求),如果你点击了这张图片,就相当于对新浪的服务器发送了get请求(请求被人事先精心设计过),上面的这种攻击被称为CSRF(Cross Site Request Forgery),译为跨站请求伪造!
2008年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、YouTube和百度HI等!现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。
