當我們在瀏覽器地址欄輸入“協議、FTP協議、Gopher協議”時,仿佛是恐龍時代的產物,基於上述古老協議的應用基本已經被基於HTTP協議的應用所取代。
與那些舊協議相比,HTTP協議的壹個優點是它對客戶端的響應速度更快。這是因為它被設計成無連接和無狀態的協議。所謂無連接無狀態,是指執行HTTP協議的Web服務器在處理完客戶端的請求後立即關閉連接,不保存客戶端的訪問狀態,減少了服務器的內存消耗和網絡帶寬占用,相應提高了服務器的工作效率。
我們可以用壹個模擬的生活場景來了解他們的工作模式。假設壹群顧客去商店購物。對於POP3、FTP等協議,他們安排銷售人員為顧客提供壹對壹的服務,直到顧客最終離店。如果銷售人員數量不足,其他顧客將不得不等待。對於HTTP協議,店員只在客戶需要交互的時候出現,幾句話之後馬上跑去滿足另壹個客戶的交互請求。雖然店員比較忙,但是即使幾個店員也能應付很多顧客,為店鋪提高了工作效率。
不幸的是,HTTP協議下的銷售員是壹個臉盲患者,它把每壹個詢問它的顧客都當成了新顧客。這與POP3、FTP等協議下的銷售人員不同。那些銷售人員從頭到尾跟著妳。如果妳問它“雞蛋多少錢壹斤?”它回答:“5塊錢壹斤。”妳說:“來10斤。”它會回答:“好,10斤雞蛋,妳有。”在HTTP協議下,是這樣的——妳問售貨員,“雞蛋多少錢壹斤?”它回答:“5塊錢壹斤。”妳說:“來10斤。”這時候它就會疑惑:“妳是誰?來10斤。什麽?我不記得妳跟我說過話。”妳:“……”
HTTP協議下的業務員要想處理好以上情況,只能給妳打上特定的標記。比如妳可以問售貨員“這個雞蛋多少錢壹斤?”它回答,“5塊錢壹斤”,同時在妳身上貼壹張紙條“這個人要買雞蛋”,這樣當妳對店員說“來10斤”的時候,它就會聽到妳說話,看到妳身上的這張紙條“這個人要買雞蛋”,它自然就會明白妳要買10斤的東西,它就能正確地為妳提供服務。
從網站設計的角度來看,有三種常用的方法來標記客戶端計算機保存客戶端訪問狀態:壹種是在返回給客戶端的HTML頁面中添加壹些不顯示的信息,當用戶點擊頁面中的按鈕提交時,這些信息會被發送到服務器;第二,在返回給客戶端的HTML頁面的鏈接地址中添加壹些信息,當妳點擊這些鏈接時,妳會將這些信息發送回服務器。第三個就是我們今天要說的主角:Cookie技術。
Cookie中的內容是服務器向客戶機返回HTML頁面數據時的壹些附加信息。客戶端瀏覽器收到這些信息後,將其保存在電腦上的特定文件夾中,形成與服務器域名對應的文本文件。這些特殊文件中具有特殊格式的文本文件稱為Cookies。當瀏覽器再次訪問同壹服務器時,最後保存的cookie內容將同時發送到指定的服務器。
Cookie並不神秘,它的出現克服了上述三種標記方法中前兩種的缺點。那些方法保存的信息的有效期是很不確定的:如果瀏覽器關閉,頁面消失,保存的信息就沒了;如果用戶用瀏覽器的“另存為”功能將頁面保存在電腦上,保存的信息將是永久的,保存在Cookie中的信息的有效期可以由服務器指定。另外,訪問網站A頁時保存的信息,在B頁上也可能有用,用第壹種方法他們是不可能享受到的;第二種方法雖然可以跨頁面甚至跨服務器享受信息,但更嚴重的問題是可以傳輸的數據量太小。但說到底,服務器采用哪種方式標記客戶端,是網站設計綜合各種因素後自主選擇的結果。作為用戶,客觀來說,我們只能被動的接受他們的設計,除非妳不使用他們的服務,或者願意接受無標記客戶端帶來的困惑和麻煩。
同樣,客戶端被標記時服務器保存什麽信息也是在網站設計時決定的。網站用這些信息做什麽,用戶不可能知道,用戶只好被動接受。這與使用Cookie技術無關,只要服務器需要標記客戶端即可。作為用戶,我們只能選擇那些口碑好,對用戶隱私保護考慮周到的網站。對於那些不知名,亂七八糟的小網站,要遠離。另外,我們還可以在退出瀏覽器的時候清空Cookie,除了再次訪問網站稍微麻煩壹點之外,並沒有什麽大的危害,就像我們可以在離店後把售貨員貼在我們身上的紙條去掉壹樣——除非妳想讓售貨員下次進店後認出那些標記。
現在有壹種東西叫“第三方Cookie”,它和所謂的“第壹方Cookie”沒有本質區別,只不過它是由妳訪問的網站(“第壹方網站”)中加載的第三方網站的代碼創建的,Cookie中的域名指向第三方網站的域名,Cookie中的信息會返回給第三方網站。比如妳去a店,那裏的店員不僅會在妳身上留下自己店的標記,還會幫B店給妳做標記,這樣當妳去B店的時候,它的店員就能認出已經在妳身上做了標記的標記。第三方Cookies是網絡廣告公司的最愛,因為他們可以在用戶密集的網站上添加自己的代碼,從而獲取自己需要的信息。理論上,其安全性與“第壹方Cookie”相同。而當第壹方網站與第三方網站合作時,對第三方網站的cookies沒有控制權,但我們對第壹方網站的信任卻自動轉移到了第三方網站,這就產生了隱私保護的隱患。但目前主流瀏覽器在設置中提供了接受第三方cookie的選項,越來越多的瀏覽器會默認禁止接受第三方cookie。
那麽,Cookie技術是否可以像他們在3.15晚會暗訪廣告銷售人員時吹噓的那樣“掌握全國90%的用戶”?他是男是女,年齡,地位,受教育程度,包括妳的郵箱註冊,包括妳註冊參加某類抽獎?拿到cookie後就能知道壹切,包括妳的手機和電腦?
理論上,這些信息可以存儲在cookies中,但準確的個人信息如性別、年齡、QQ號等。不能憑空出現在cookies裏除了妳提交給網站,網站記錄在cookies裏。而正規設計的網站壹般不會將這些信息保存在cookie中(用戶壹清空cookie,最有可能保存在自己的數據庫中,最多在cookie中保存壹個關聯的標識號。
當然還有興趣愛好、年收入、上網等信息。可能是通過cookie獲取的,但是獲取的方法不是直接從cookie中讀取,而是通過cookie將客戶端與壹系列訪問事件關聯起來,通過數據挖掘獲取。比如第三方網站通過Cookie發現我電腦的瀏覽器在某門戶網站訪問過很多與天文相關的頁面,就可以推斷我喜歡天文。只是結論很不準確。如果我的朋友用我的電腦訪問這些頁面怎麽辦?更不用說我們可以通過清除Cookie來幹擾它的數據挖掘過程和結論。只是廣告主不太註重分析結論的準確性。他們只需要確保他們的廣告能夠覆蓋特定的群體。“誤殺千人,不如放過壹人。”
說到這裏,需要提醒各位網友的是,雖然存儲在自己電腦上的cookies是安全的,但是壹旦cookies被流氓軟件攔截上傳,後果不堪設想。
2003年2月1日,國家標準《信息安全技術和商業服務信息系統個人信息保護指南》正式實施,這是我國個人隱私保護領域的重要進展。長期以來,我國個人隱私保護嚴重不足。相當壹部分網友並不在意。他們認為只有名人和大人物才需要保護個人隱私。這種誤解使得他們自己的計算機門戶開放,流氓軟件流行。與此同時,大量網民個人數據被釣魚網站利用,被中小網站收集出售。真心希望廣大網友能從現在開始關註這個問題,保護自己的個人隱私不受非法侵犯。
(作者:飛蠓)