直到现在仍有不少人认为，访问没隐私没价值的网页，不是 HTTPS 问题不大。。。

2018-09-26 11:32:18 +08:00

mytry

直到现在，居然仍有不少人（甚至包括做 Web 开发以及安全的），以为只有涉及隐私的网页用 HTTPS 才有意义。随便浏览一个从搜索引擎里点出来的 HTTP 垃圾站对自己并没什么影响。。。

殊不知，只要允许了三方 Cookie （各大浏览器默认允许），访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露。。。（原理很简单，大家可以想想为什么）

而且国内大部分网站隐私 Cookie 都没加 secure，也极少有网站同时开启 HSTS+includeSubDomains，导致用户 cookie 大片大片的泄露。

真正了解这个风险并禁用三方 Cookie 的寥寥无几，最悲催的是不少国内大网站都依赖这个，禁用后正常功能都会受影响。。。

15521 次点击

所在节点

程序员

111 条回复

famez

2018-09-26 11:38:28 +08:00

赞一个

est

2018-09-26 11:45:53 +08:00

> 访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露。。。（原理很简单，大家可以想想为什么）

怎么个泄露法？中间人？

Pastsong

2018-09-26 11:48:38 +08:00

国外网站也依赖第三方 cookies，比如使用 Google 账号登录第三方网站

wxsm

2018-09-26 11:49:07 +08:00

#2 同问。建议你来点干货，让我们开开眼，怎么个瞬间泄露法。

Ultraman

2018-09-26 11:49:25 +08:00

除去做技术的大概知道 cookie 这么个名词的都没多少更别期待这部分人群对 cookie 和隐私的关系有什么认识了(另外对于隐私停留在不能让其他人知道自己银行卡密码微信密码的也见过不少)

honeycomb

2018-09-26 11:50:29 +08:00

@est 估计中间人

@Pastsong 人家是全程 HTTPS，不受影响。我们这边的 OAuth 实现有时候还在用明文 HTTP

hpeng

2018-09-26 11:50:59 +08:00

等一个简单的原理。

imdong

2018-09-26 11:53:41 +08:00

大概是这样的吧。

比如你访问 http://www.a.com 被劫持插入了 http://www.b.com/a.js
然后就能获取到 www.b.com 相关的 cookies 了？？？

运营商有能力做到在 www.a.com 插入任意代码，也有能力劫持 www.b.com 的解析甚至直接中间人读取了。

affyun

2018-09-26 11:53:52 +08:00

自从早年买了电脑开始，用 IE 时就不允许第三方 cookies

airyland

2018-09-26 11:54:35 +08:00

等一个简单的原理 +1

iwtbauh

2018-09-26 12:10:03 +08:00

我理解的是：如果 a.com 的 cookie 没加 secure，然后用户登录 a.com ，再访问不是 https 的 b.com ，b.com 没有用 https 引用 a.com 的资源（浏览器就会访问 a.com ，并携带所有非 secure 的资源），导致 a.com 的 cookie 泄漏。

所以开发者不要忘了设置 cookie 时设置 secure 标记，或者启用 hsts。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

@est
@hpeng
@airyland

est

2018-09-26 12:11:39 +08:00

@imdong 我觉得现在网上说安全有个风气就是人人都是运营商。2333

est

2018-09-26 12:13:34 +08:00

@iwtbauh 所以 a.com 的 cookie 怎么个泄露法？ IE 5 下除了很老的猥琐技巧，都不允许跨域访问 cookie 的。中间人？

iwtbauh

2018-09-26 12:16:53 +08:00

@est

中间人啊，本来应该只在安全连接中传输的 cookie 使用明文在网络上传输了。

再扩展一下，中间人在你的任何 http 流量中插入 alipay.com 的 http 资源引用，如果 alipay 没有设置 secure 或者 hsts，你的 alipay 就会可能会被盗刷

DCjanus

2018-09-26 12:20:36 +08:00

@est 可是之前抓了一批盗新浪微博用户 cookies 刷赞刷关注的，他们就是跟运营商合作拿到的数据。

xxgirl2

2018-09-26 12:24:23 +08:00

我不懂网站开发，却一直比较好奇绅士站的 cookies 原理是怎样的（掩面

est

2018-09-26 12:26:43 +08:00

@DCjanus
@iwtbauh

中间人能做的事儿多了。虽然抓 cookie 是来钱最快的。你要考虑中间人，就不仅仅是 cookie 和 http 这么简单的事儿了。所有的行为记录都可能被抓。这一点上除了双 ISP 负载均衡 VPN 之外没有根本的解决方案。

imdong

2018-09-26 12:27:05 +08:00

@est #12 这事运营商还真没少干，而且从你端到服务器端中的任意一个部分，都有可能被中间人劫持。
不只是运营商，所谓的黑客是可以很容易做到侦听你的数据包的。
当然，当下的劫持数据包泄漏绝大多数都是运营商自己干的。

iwtbauh

2018-09-26 12:27:47 +08:00

对了，这个选项在我的 Debian stable 的 chromium 上是默认开启的。

我一开始还纳闷为什么访问什么网站都提示 cookie 已拦截 XD

des

2018-09-26 12:29:35 +08:00

都是禁用第三方 cookie 的，也能避免一些广告追踪

第 1 页／共 6 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/492685

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.