安全衝浪：認識活動內容和Cookies

　許多網民在瀏覽網頁時，只是特別關注瀏覽器顯示的內容，而對瀏覽器內部究竟發生了什麼沒有過多的想法，從而很容易給自己的計算機帶來安全危險。當瀏覽網頁或者用E-mail客戶端收發E-mail時，活動內容（Active content）和Cookies是常見的兩種容易導致安全威脅的因素。

　　什麼是活動內容？

　　為了給自己的網頁增加功能或裝飾，網站往往依賴可以在Web瀏覽器中執行的腳本程序。這種活動內容，可以用來製造各種漂亮的頁面，也可以製作下拉式選擇選單。不幸的是，這些腳本往往給惡意攻擊者提供了在用戶的計算機里下載或執行惡意代碼的機會。

　　JavaScript——JavaScript是一種被廣泛認可並被使用的Web腳本，當然Web腳本不止JavaScript一種，例如VBScript、ECMAScript和Jscript也都是Web腳本，JavaScript和其它腳本幾乎用在所有的Web站點上。JavaScript和其它Web腳本之所以會這麼流行，是因為用戶期望它們所提供的功能及視覺效果，而且它們與瀏覽器能夠很好的結合，目前大多數建立Web站點的工具都能夠提供JavaScript的特性。正因為JavaScript和其它腳本如此的流行及其強大的功能，惡意攻擊者能夠利用它們達到自己的非法目的。最常見的一個攻擊手段是網站的重定向，即攻擊者使用戶正在訪問的正常的站點重定向到一個非法的惡意站點，並且從此惡意站點下載病毒木馬或者流氓軟體到用戶的機器里。

　　Java 和 ActiveX控制項——與JavaScript不同，Java和ActiveX控制項是存放在用戶機器里實際的程序，或者可以通過網路下載到用戶的瀏覽器中。如果某些不可信任的ActiveX控制項被惡意攻擊者執行，那麼惡意攻擊者可以在用戶的機器里執行任何操作，例如運行間諜軟體收集用戶的敏感信息，將用戶的機器通過網路連接到其他的計算機上，或者刪除用戶的一些重要資料等等。一般來說，Java的小程序運行在受限的環境中運行，但是如果那個環境是不安全的，那麼就會給惡意的Java程序提供了攻擊的機會。

　　JavaScript和其它形式的活動內容並不總是危險的，但它們的確是惡意攻擊者的攻擊工具。用戶可以在大多數的情況下阻止活動內容的運行，不過在保證了安全的同時，也一定程度上限制了站點原有的功能，用戶可能無法完全體驗網站原有的面貌。當用戶點擊瀏覽一個陌生或者自己不信任的站點時，為了保證自身的安全，最好阻止一切活動內容。

　　什麼是Cookies？

　　當用戶在Internet上瀏覽時，用戶的計算機信息可能會被收集並且保存。被保存的信息可能是用戶計算機上最常規的信息，例如IP地址、用戶常常連接的域名（edu、com、net等）或者用戶使用的瀏覽器的類型；被保存的信息也可能是非常具體的信息，例如用戶最後一次訪問的站點是什麼，用戶在該站點上都有哪些行為等等。

　　Cookies可以有不同的保存時間：

　　Session Cookies——Session Cookies保存信息的時間與用戶使用瀏覽器的時間相同，一旦用戶關閉了瀏覽器，則Session Cookies里保存的信息會被清除。Session Cookies最初的目的是用於網站的導航，例如標識哪些頁面用戶曾經瀏覽過，哪些沒瀏覽過。

　　Persistent Cookies——Persistent Cookies將會保存用戶的個人愛好在計算機里，在多數的瀏覽器里，用戶都可以設定Persistent Cookies有效期。怎樣的信息會保存在Persistent Cookies里呢？例如，用戶在Hotmail主頁登錄郵箱時保存的用戶名和密碼都是存放在Persistent Cookies里的。如果某個惡意攻擊者獲取到了訪問你的計算機的許可權，那麼惡意攻擊者將會通過Cookies文件來收集你的個人信息。

　　為了增強你的安全等級，用戶可以調整你的隱私和安全策略設置，來阻止或者限制你瀏覽器中的Cookies功能。要確保其他網站不會在你不知道的情況下收集你的個人資料，請選擇只在你訪問過的網站開啟Cookies功能。如果你使用的是公共計算機，你應當確認Cookies是被禁止的，這樣就能防止其他人訪問或者使用你的個人信息了。