你的隐私安全吗：Cookie到底是什么？_互联网_科技时代_新浪网
你的隐私安全吗：Cookie到底是什么？
　　(新浪微博前端技术专家)
　　，Cookie这东西突然特别火，据说很多网友都忙着删掉自己浏览器中的Cookie。一开始我还觉得挺无聊的，央视不懂乱说什么啊。直到前两天，家里一个亲戚跟我说：“原来我们上网干什么你们都知道啊，还看我们的邮件，这不一点隐私都没有了嘛。太可怕了。”
　　我才意识到这个问题误导得太严重了，做为一个多年从事互联网Web开发工作的工程师，我觉得我应该说点什么。下面我来给大家介绍一下Cookie，看看你的Cookie安全吗？
　　1、Cookie是什么？
　　央视这一点解释的还算可以，它是一个数据包，每次访问网站的时候浏览器都会将该网站的Cookie发回给网站服务器，同时网站也可以随意更改你机器上对应的Cookie。但有一个很重要的信息视频中没有提到：Cookie不是只有一个，而是一个网站一个，所以视频中把它比喻成网络身份证的说法是不准确的。它不是你在网络中的唯一标识，只是你在某个网站的唯一标识。
　　2、Cookie中都有什么东西？
　　这个取决于网站自身，视频中说网站会存储一些重要的用户信息(什么用户名、密码、浏览记录、IP地址什么的)到Cookie里。事实上：
　　普通网站都不会存重要的信息，它们仅仅存一个你的登陆状态，也就是你拿用户名密码换取的令牌，还有就是网站针对你的判定(比如你在这个网站上的唯一标识是什么，你访问的是我们的哪台服务器，你使用的是我们的哪个版本的产品)，这些信息你都不需要关心，它和你的隐私一点关系都没有。
　　文艺一点的网站会将这些信息进行加密，目的是防止别人伪造这些信息欺骗网站。
　　央视描述的网站(在Cookie里存用户名、密码的，也许是央视网)的做法在互联网上是极其极其少见的，可能只有外行或者刚学网络开发的学生会这么做，这种网站是极其不安全的，你的信息很容易就泄漏了，所以还是少去访问。
　　3、Cookie会被人窃取吗？
　　视频中已经说了，Cookie只能被放置它的网站读取。这一点是浏览器保证的，这也是浏览器的一个重要的安全机制。如果你觉得你的浏览器不能保证这一点，那就换个靠谱的，比如IE9啊，Chrome啊，Firefox啊都是相当不错的。这么说Cookie是安全的了？也不一定，Cookie在传输过程中和网站方都有可能被窃取。我举个不太恰当的例子：
　　我们可以把用户访问网站的过程比做你给网站写一封信，信的内容可以比做你提交给网站的一些信息(比如你的性别啊，年龄啊)，Cookie可以比做信封中的寄信人，标识你是谁。那么在整个寄信过程中，邮电局是完全有机会窃取你的信封的，而网站也可以将你的信封卖给别人。但是！！！这两方其实已经拥有了你这封信的内容了，你觉得他们有必要偷你的信封吗？
　　事实上，Cookie的盗用一般在你使用了不安全的网络(比如公共场所的WiFi)，或者网站出现安全漏洞的情况下才会放生，前者发生的概率就比较低，而后者对网站造成的影响远比Cookie被盗这点小事大很多，在互联网公司是严重的故障，一经发现很快就会堵上的。
　　4、那他们说的什么掌握几亿Cookie啊，又网站布码啊什么的，听起来好厉害的样子，这又是怎么回事？
　　通过上面我们已经知道了，Cookie被窃取是一个比较小概率的事件，不可能达到几亿这个级别。视频中宣称的各种华丽的数据其实是销售人员在忽悠广告主，将一个很简单的实用技术术语说得很牛逼的样子。真相是这样的：
　　我们上文提到“每次访问网站的时候浏览器都会将该网站的Cookie发会给网站服务器”。那么如果我网站里有一张图片，浏览器访问这张图片的时候会发哪个Cookie呢？答案是提供图片服务网站的Cookie。比如某网站S的页面上有一张来自某营销网站B的图片，那么它们的关系如下：
　　你在访问网站S的时候，你同时也以B用户的身份访问了B网站。你说“我没在B网站注册啊，怎么会是B网站用户”。嘿嘿，不用你注册，因为也不需要你知道，他是自动分配一个帐户给你的，如果像S这类的网站多了，B网站想在不同网站之间都能定位到你，怎么办？把分配给你的帐户存在B的Cookie里就行了啊。这就是它们所谓的几亿的Cookie。至于布码，其实就是访问那张图片的代码，甚至可能就是你在页面中看到的广告图。你可能注意到B网站在拿到Cookie的同时，还获取到了一些信息，这些信息是否涉及到隐私就看网站S的节操了。一般大网站只会把一些简单的页面信息给B，比如看了什么视频啊，新闻啊等等。其目的也是让广告主投放的广告更精准。至于还有说得到用户名密码什么的，我只能说，兄弟你被钓鱼了，网站是不可能贩卖自已用户的密码的，这么做没有意义，估计你是访问了什么乱七八糟的网站，骗你填了什么用户名密码，然后被信息卖掉了，这和Cookie毛关系都没有。
　　5、网站这么做算侵犯隐私吗？
　　这个不好说，比如你觉得你关注什么新闻，买了什么玩具，看了什么视频(爱情动作片略过)可能不算隐私。但你可能不希望别人知道你买过什么药，看过介绍治疗某些病的网页，这些对于很多人来说是算做隐私的。这是访问跟踪技术最有争议的一点。
　　6、我有洁癖，就不想被跟踪，那怎么办？
　　浏览器都有一个禁止第三方Cookie的功能，你只要打开他就可以不被跟踪了，但是！！！有可能一些网站的功能就无法使用了。所以请慎重。
　　7、那么我如何保护自己的隐私不泄漏呢？
　　这个话题太大了，我说一点原则吧：
　　不要在你不清楚来源的网页上填写任何个人信息，比如视频里说的知道你的年龄、性别、收入等等，其实就是你在不同网站填写的信息被他们获取后整合得到的，因为市面上还飘着一些没节操的公司贩卖的个人信息，他们只要以对比数据就可以跟你对上号。
　　敏感信息任何网站都不要填写，大网站虽然不会主动贩卖你的信息，但系统可能会存在漏洞，泄漏出去一些个人信息，例子挺多的，我就不点名了。
&&|&&&&|&&云安全是什么？工程师详解“可信云安全”_笔记本_科技时代_新浪网
云安全是什么？工程师详解“可信云安全”
作者：圈儿
套用别人一句话：新技术革新到来之时，总会面对传统思维的各种质疑。金山毒霸“可信云安全”计划实施 4 年来，同样面临业界各种不同的声音。有人直接在微博中说，云安全都是骗人的，而这些人从来也不去真的审视这个正在发生着变化的安全世界。
在微博、在论坛、在博客，我们看到各种各样关于云安全体系的见解和说法，我们非常兴奋地发现有一批普通的网友对金山的“可信云安全”寄于厚望，他们兴奋地憧憬着云安全的未来，面向他的朋友介绍着云安全带来的种种好处。
这里，金山安全工程师将自己看到的各方面有关云安全的争议的声音逐一解释，力求让公众更多地了解金山“可信云安全”倡导的安全技术变革。 “金山可信云安全”到底是什么？能给用户切实的好处吗？ 云安全，这个技术名词，有人认为是噱头，是安全厂商在骗人。而事实上，面对恶意软件的疯狂增长，传统的特征库升级这种方式已经穷途末路，网络安全的现状要求杀毒软件需要建立更快的响应机制。云安全从早期的探索到部分厂商跟进，再到全行业共识已经走过了三代发展历程。
第一代云安全
可以获得大量样本
只有客户端的样本收集功能，升级数据仍然需要分发，只是放大了的网络版杀毒软件
第二代云安全
样本收集 +MD5 云端匹配
收集了大量样本，但缺乏迅速有效的鉴定工具，只能靠 MD5 匹配来弥补。
客户端计算 MD5 的消耗较高， MD5 匹配只能是一对一匹配，效率低。
第三代可信云安全
云端收集 + 自动识别鉴定，云端鉴定器可随时增加。客户端提交几个字节的 DNA 指纹数据到云端匹配，是将传统杀毒引擎和互联网应用相结合的产物。
云端鉴定器灵活部署，自动鉴定，秒级更新。客户端可相当简洁，只需要提交可疑文件几个字节的数据到服务端匹配。
再看金山“可信云安全的体系”结构：本地蓝芯 II+ 云端的紧密结合。本地客户端可以优化到很小，以提高性能、减少资源消耗。云端自动完成样本收集、鉴定和实时响应。金山的可信云安全真正的将云安全的技术应用到安全产品中，并让用户能够非常切实的感受到云安全带来的变化，这正是第三代云安全的精髓所在。
用户端的杀毒软件对升级的需求降低，传统杀毒软件落后的更新机制不复存在。用户不再需要隔一段时间就升级一次，下载若干病毒特征库。因为只要联网，本地杀毒软件即可获得最新的云端的数据库，也就具备对抗最新病毒木马的能力。而金山“可信云安全”还有一个特别的地方，是将行为拦截放在云端完成。传统的主动防御客户端会让最终用户难以理解，恶意软件绕过防御、进行针对性的对抗相对比较容易。而放在云端则对病毒木马作者完全不可见，很难采取措施绕过或对抗。 恶意软件如果切断了网络，云安全是不是就抓瞎了？ 当然，如果你故意拔掉网线，云安全就帮不上你什么忙了。但是，目前在我们所侦测到的病毒事件中，几乎没有以破坏网络连接为目的的。这里面有两个理由： 1. 病毒也需要借助网络进行传播，切断网络，病毒自身传播通道也切断了； 2. 病毒木马入侵的目的，是为了窃取用户资料或实施盗窃，网断了，传播病毒的人也将一无所获。 所以，至少我们知道，恶意软件故意破坏网络的，非常少见。并且，一般的网络故障，完全是可以通过客户端杀毒软件来修复的，保证网络畅通，这不是难题。 断网之后，云查杀，还能不能工作？ 瞧，又有朋友说万一断网之后怎么办了。 为应对这些疑问，金山毒霸 2011 中默认是使用云端的数据库，但本地还有一个危害严重分布广泛的流行病毒库和本地白名单库，依靠这两个库即使在断网的情况下也会提供一定的安全保障，能防范流行病毒攻击。 如果某些用户觉得不太放心，还可以选择将一个相对完整的特征库文件下载到本地缓存起来。断网时，可以使用本地缓存的病毒特征库进行查杀。但此时，如果网络是通畅的，仍然会使用云查杀。
断网后，金山毒霸 2011 云防御，还能不能防得住？ 又是断网的！
再次说明，现阶段完全不能上网是个概率非常小的事件（在我国，宽带已经普及到西部的乡镇，知道电脑是怎么回事儿的地方，基本都能上 ADSL 宽带，这年头买的电脑里，可曾发现史前怪物：调制解调器？），并且在这种情况下，你使用普通杀毒软件一样上不了网，一样升级不了，一样处理不了新病毒。
再退一步讲，假如你的网络连接不是很稳定，你也可以参考前面说的，把一个相对完整的特征库下载到本地使用。同样的，只要你的电脑能联网，你一定可以感受到云安全给你带来的高清除率和高速查杀。 云安全会不会引起隐私问题，会把我做的电子相册给传上去吗？ 金山安全只会收集二进制程序文件，对于用户的数据文件，硬件信息，全无兴趣 。 金山毒霸倡导的云安全体系，客户端上传只是获取样本的通道之一，金山的样本获取，更多是靠服务器爬虫抓取；靠服务器的鹰眼系统自动跟踪病毒木马作者的下载源。当某用户的电脑上出现一个全新的二进制文件特征（请注意，是文件特征，而非文件本身），云安全服务器中没有找到这个文件的任何信息，当文件比较小时（ 1MB 以下，大个儿的病毒也有，但非常少），客户端会上传。
用户制作的电子相册，除非是采用前所未有的工具制作，一般的工具软件制作的相册都已在金山云安全库中留下记录，是不会上传的。
隐私问题是金山特别关注的重大问题，我们不会拿公司的商誉开玩笑，尊重用户的隐私权利。 我所认为的 “ 云 ” 就是指所有终端的后方都有共同的病毒库服务器，只要有一个或者一些电脑同时发生危险，可以及时把危险报告在病毒库服务器，然后实时更新，让所有的终端能拦截这种危险？ 不，这不是云安全，这是一个放大了的网络版杀毒软件，离我们的防毒理念差距甚远。金山的云安全包含一些庞大的系统，样本收集只是其中一个环节。并且，我们并不依赖于客户端的收集功能。现在是过渡时期，消费者接受一个完全不需要升级的云杀毒软件还有一些障碍，因此，我们目前还是提供升级病毒库的功能。未来的病毒特征库是完全可以放在云端的，用户任何时候只要能联网，就能获得全新的病毒防护能力。 云防御的耗费流量的问题，云的误判排除，出现误报怎么办，出现病毒程序报无威胁怎么办？以后是不是有开发云 HIPS 的必要？ 云安全当然要消耗网络流量，但我们知道威胁来源于非正常程序文件，一台电脑上的非正常程序文件是比较少的，我们只是将这些文件的特征发送到云服务器查询，这些特征只有几个字节，比传统的下载病毒特征库的升级方式需要的流量要小得多。它甚至比你通过 QQ 聊天发送的字节数还要小。 云安全的海量分析决定了这种方式的误报或漏报概率非常小。关于 HIPS ，或其它主动防御技术，我们是把这些技术应用在服务端的，金山在云安全服务端部署了超过 20 种人工智能鉴定器，包含启发式分析、沙盒、虚拟化、行为分析、 API 序列分析等等。多种方法并行，相互纠错，改良算法，还可以不断增加新鉴定方法。这些系统远比任何普通客户机复杂，是不可能部署在客户端的。部署在服务端也有一个明显的好处：病毒作者完全不知道金山用什么办法识别病毒，也就无法拿出针对性的对抗或绕过或反制的措施。 我们认为把“是否应该选择哪个按钮”交给普通用户不能算完美的防御方案，因这些提示，大部分普通用户看不懂。 云安全扫描的响应速度有多快，会不会受网速的影响，导致检测的速度变慢？ 金山云安全体系充分考虑了客户端查询的
负载，在执行云查杀时，客户端发送的特征数据量非常少，这只需要消耗不多的服务器带宽。金山的云安全服务器可以承受峰值千万计的瞬间查询，对于每个查询的响应时间以毫秒计。在有用户实际测试金山毒霸扫描速度时，发现联网状态比断网状态扫描速度快了一倍，这得益于云安全服务器的高性能和正常文件白名单的强大。
说到响应速度，更重要的是，当一个新的威胁在互联网出现时，所有金山毒霸具备群防能力的响应时间。我们目前可以做到在 1 分钟内识别 95% 的样本，再迅速将识别结果同步到外网，这样，当一个全新的威胁出现时，只需要几分钟时间，全体在线的金山毒霸用户即可获得对该病毒的防御能力。
其它剩下的样本，通过多种方法最终完成鉴定最长不过一天的。和病毒木马传播链作战，最终拼的就是响应能力。 云安全不是金山一个厂商在提，金山如何确保竞争优势？ 有些人讲的云安全仅仅是样本收集，而这些东西，金山早在 3 年前已经具有丰富的经验了。最初收集的结果是，样本量爆增，曾经达到峰值一天 100 万个，平均 30 万个。 这个数字让程序员即兴奋又沮丧：兴奋的是，开辟新的样本收集通道可以收集大量可疑文件；沮丧的是，收集的文件太多，超出了分析处理的能力。
那么，最重要的地方就是云端鉴定。这么多的样本，怎么处理，这才是最关键的东西。有人说拿所有杀毒软件查查就是了，有报毒的就加库，但很明显，这样做，你的误报概率是所有杀毒软件的总和。今天，金山在云端的鉴定器已经超过了 20 种，这些鉴定器并行计算， 95% 的样本可以在 1 分钟内得到结果。
金山的优势在于，我们是最早展开云安全项目，其它厂商折腾云安全时遇到的种种难题，金山早已经历过了：样本的处理、服务器的稳定性、能不能做到实时更新。非专业安全厂商追上来，还需要时间。 金山不做本地主动防御，是技术有问题吧？ 金山的防御理念和别的厂商有所不同，金山坚持自己的特色，我们的目标是让所有用户享有金山安全的技术成果，不想把门槛设定的很高。把客户端功能设计的很复杂，会增加用户的使用成本：总在回答 yes or no 的问题，用户说了，我买你的杀毒软件，就是让你帮我解决问题，你反过来问我干什么，我哪儿知道哪个该点 yes ，哪个又要点 no.
事实上，不是金山排斥行为拦截，是我们认为行为拦截放在服务端能更好地帮助用户解决安全问题。金山在服务端部署了多款行为识别、启发式分析、沙盒、虚拟化技术等人工智能鉴定工具，能在服务端自动化完成程序善恶的鉴定，多种方法并行即提高了效率，也更准确。而在客户端是不可能部署这么多的技术识别方法的，客户端的电脑无法和服务器的性能相比，同时，客户端在明处，病毒在暗处，病毒作者可以很容易找到绕过或对抗的方法，而这些办法对于金山的云端行为识别就毫无办法。 云服务器会不会中毒啊，要是一中毒，用户会不会都给害了？ 这个不用担心，云端的鉴定器都在特别的环境运行，不会受病毒之害，客户端只访问云端鉴定的成果，更没有机会受害。
服务器的安全非常重要，这些金山的技术人员已经做好充分的准备。 可信云安全还能做什么？是不是只能用于文件鉴定？ 这是个很有意思的话题，现在公众看到的可信云安全主要用在文件鉴定方面，而实际上这一理论完全可以指导我们达到安全上网的目标。
目前，用户上网实际上面监三大威胁： 1 是网页挂马，一个有害的链接，有漏洞的机器点击就中毒； 2 是钓鱼欺诈类网站，骗子做的网站，不小心点进去就上当； 3. 有害的 URL 链接，有人从这里下载过病毒，还让其它人中招么？！解决了这三个问题，基本就解决了上网安全的问题。
现在头两个威胁，基本上已经不能对金山的用户构成现实的威胁。安装了金山网盾的机器，点击 URL ，绝不会被挂马网站攻击成功。同时，金山网盾拦截钓鱼网站的能力也得到极大的提升，这就得益于我们服务端的自动 URL 收集和快速鉴别，我们的服务端软件鉴定钓鱼网站的能力得到迅速提升。目前，云安全数据库已经在大量收集和鉴定欺诈下载、病毒下载等恶意 URL 库，文件云安全库和网址云安全库的联动，某 URL 只要下载过恶意文件，将通过金山网盾客户端拦截其它用户的下载，尽可能减少病毒木马到达最终用户的概率。
电话：010-职业培训相关供应信息
员、资料员、监理员、等八大员进行统一上岗 01月27日
，且名额报满为止
招生对像：18-55 03月10日
或 03月12日
并且已通过考试，取得安全员资格证书的人员 03月07日
最近搜索来访记录
浙江杭州的网友用手机两天前在百度搜索“怎么考安全员”访问了本页湖南长沙的网友两天前在百度搜索“湖南安全员考试考几门”访问了本页互联网的网友用手机两天前在百度搜索“安全员应该做什么”访问了本页互联网的网友用手机两天前在百度搜索“安全员考试要考什么”访问了本页湖南的网友用手机两天前在百度搜索“怎么考安全员”访问了本页
职业培训VIP推荐信息
教育培训最新信息
职业培训相关分类
，还可以通过北京高培伟业管理咨询有限公司
信用指数：
证书荣誉：
企业认证：
企业信息完整度：
经营模式：
所在地区：
北京市丰台区
主营产品：
系统集成项目管理工程师培训
入驻时间：
商铺地址：
电话： 86-010-
地址： 北京市丰台区北京丰台夏家胡同育芳园东里三号楼B座四层
联系我时请说是在淘金地上看到的
不是你想要的产品？
，让更多供应商主动联系你！
北京黑客攻防与网络安全是做什么的
发货地点：
北京市丰台区
发布时间：
产品类别：
"北京黑客攻防与网络安全是做什么的"详细信息
　　文档安全、黑客攻防及信息安全风险评估　　高级技术培训班　　 北京 文档安全、黑客攻防及信息安全风险评估高级技术培训班　　本课程全国常年开班，如部分地区课程已结束，请致电：010-或QQ：咨询最新培训信息!　　一、课程目标　　1.了解网络安全体系架构的设计和网络安全设备在网络中的部署?；　　2.了解常见网络安全威胁的类型及其危害；　　3.了解常见的黑客攻击的方法及防范攻击的技巧；　　4.增强学员对信息安全的整体认识及信息安全防范能力；　　5.在实际工作中提升企业的整体信息安全水平。　　二、授课师资　　赵凤伟 & 信息安全资深顾问 CISSP、CISP、中国信息化培训中心信息安全讲师,先后参与国防科工委如中国核工业研究所、总装情报所、中国航天集团、中国兵器集团等网络安全项目的策划、执行和后期维护。　　商宏图 & 工业和信息化部备案网络安全高级技术专家、清华大学国家CIMS工程技术研究中心客座讲师。　　尹 &伟 & 中国信息化培训中心高级讲师、对系统安全、Web应用安全、网络安全、数据库安全有比较丰富的知识积累。　　三、面向对象　　政府、部队和企业、公司的信息系统主管（CIO）和信息安全主管（CSO）、信息系统管理员或网络管理员；网络或安全系统集成商、电信、等服务提供商、金融、证券等服务提供商、对网络信息安全感兴趣的IT人员。　　四、授课方式　　学习采用人手一机，实机操作，注重案例教学和应用操作实训。　　五、考核认证　　本课程颁发双证，证书查询：www.；www.zpedu.org。　　1、工业和信息化部人才交流中心颁发的《全国信息化工程师》证书。　　2、中国信息化培训中心颁发的《高级信息安全工程师》证书。　　证书可作为专业技术人员职业能力考核的证明，以及专业技术人员岗位聘用、任职、定级和晋升职务的重要依据。　　六、具体课程安排　　见链接：http://www.zpedu.org/Curriculum3.aspx?kcclass=2&id=277　　七、培训费用　　每人4500元（含培训费、考试费、证书费、资料费、午餐），食宿统一安排，费用自理。（请学员带二寸彩照2张—背面注明姓名，身份证复印件一张）。　　八、报名回执　　九、联系方式　　联系人：张鑫　　电话：010- & 010- & & QQ：　　传 &真：010-　　Email：zpedu@zpedu.org &mailto:zpedu@zpedu.org&　　网 &址：www.zpedu.org　　完整课程链接：http://www.zpedu.org/Curriculum3.aspx?kcclass=2&id=277 & & & & & & & & & & & &二○一四年一月十日
联系我时请说是在淘金地上看到的
类别的产品
此处显示 class "clr" 的内容
查看同类的其它产品： & & &
热门搜索：
此处显示 class "clr" 的内容
按货源分类
按字母分类
淘金地--会员登录
* 请选择或直接输入您关心的问题：
--（选择常用问题）--
我公司有意购买此产品，可否提供此产品的报价单和最小起订量？
我对贵公司的产品非常感兴趣，能否发一些详细资料给我参考
请您发一份详细的产品规格说明，谢谢！
请问贵公司产品是否可以代理？代理条件是什么？
* 请选择您想了解的产品信息：
* 联系人：
* 手机号码：
您的询盘已经提交成功！
以下供应商也提供类似产品，建议您将询盘信息一并发送给他们