在使用浏览器的时,同一个网站尝试登入两个不同帐号时就会发现帐号相互影响,无法正常使用,无法如愿以偿。而使用浏览器的小号模式则不会出现这个问题。那么,为什么会出现串号呢?小号模式本质又是什么呢?下面便来给大家详细讲讲。
HTTP
在访问网站时可以看到,网页的地址都是以HTTP或HTTPS开头。这个HTTP为我们多姿多彩的互联网网页世界打好了基础。HTTP/HTTPS后面便是网站的域名和网页地址,犹如家庭地址的门牌号。告诉服务器你希望访问哪个页面。
我们都知道,登录不同的账号,浏览器显示的内容是不同的。然而前面说的这些只能告诉服务器你想访问哪个页面,服务器并不能知道你是谁。在服务器得到的信息中,除了IP地址,其他大部分信息都可以进行篡改。为了让服务器知道你是谁,就需要引入Cookie/Session。
Cookie/Session
这里说的Cookie当然不是曲奇饼干(笑)
服务器在认可了你的身份后(例如帐号密码登录后),会给你发送Cookie/Session,以后每次访问这个网站,都会将服务器发送给你的Cookie/Session再重新发送给服务器,服务器便知道了你是谁,也就可以根据不同的账号显示不同的页面内容。
当你点击退出账号时,网站会告诉浏览器,Cookie/Session已经没用了,可以删除了,同时服务器也不再认可之前发送的Cookie,这样你的账号也就退出了。
Cookie通常都是有时间限制的,短则页面全部关闭就失效,长则几天乃至几个月。这也就是自动登录的实现原理。Session通常在浏览器关闭时就失效,这也是非自动登录最早的实现思路。
如果你同时打开两个网页,一边登陆了帐号,刷新一下另一个页面也就“自动”登录了帐号。因为同一个网站的不同页面发送的Cookie是相同的。同理,一个页面退出账号,登录小号,另一个页面也就被认为登录了小号,只不过需要刷新才能看到变化。这也就形成了我们所说的“ 串号 ”。
若我确实需要登录两个账号分别操作怎么办呢?别急,可以使用无痕模式,也有浏览器称为隐私模式,小号模式。
小号模式/无痕模式
最早这种模式是为了保护隐私,无痕模式的所有内容独立存放,关闭浏览器后全部删除。使用非IE浏览器基本都能找到这项功能。
这里的所有内容,当然也包含了Cookie。 两套Cookie互不影响,这样也就实现了登录两个账号不串号。
在最早的网站中,这个功能看起来是相当鸡肋。后发现可以巧妙的使用无痕模式实现多账号登录,这个功能也算得以保留下来。国内的浏览器厂商甚至直接将其改名为小号模式。
安全提示
从上文的描述中不难发现,Cookie十分重要。聪明如你应该已经发现了,没有账号密码,截获了你的Cookie依然可以登录你的账号。对,没错,是这样的。
当怀疑有人截获了你的Cookie后,你能做的也就是以忘记密码的方式修改密码,大多数网站都会重置你的Cookie,让你重新获得账号的控制权。
在早年间,他人搭建的百度贴吧自动签到系统一度十分火爆。而实现自动签到当然便是采用我们上文提到的发送Cookie确认身份的方式为你的账号自动签到。显而易见,这种方式风险极大。
网站通过各种各样的教程教会了用户如何提取自己的关键Cookie,并提交到网站,其与直接将账号密码交与他人差别不大,而大多数人则并没有意识到这个风险。
Token令牌
结尾再说说Token令牌。
当使用QQ点击邮箱图标进入QQ邮箱时,网站又是如何确定身份信息的呢?这里便采用了Token。
当点击邮箱时,弹出的网页快速按esc取消时,可以发现当前所访问的网页地址非常长,例如:
https://ssl.ptlogin2.qq.com/qqmail?pt_clientver=5611&pt_src=1&ptlang=2052&Fun=clientread&uin=**********&k=*********************************&httptype=1&biz=0&ADUIN=**********&ADSESSION=*********
网站通过地址中的这些敏感信息,识别用户身份,再返回Cookie/Session,保持用户的登录状态。
这一段信息也可以看做是另类的账号密码了。有些不法分子便会通过用户不了解其作用,放下警惕,将“账号密码”泄露出来。
并不是紧握账号密码便能保护账号安全。在陌生人面前,这些不懂的操作万不可随意操作,交出了帐号控制权自己却丝毫不知。
693
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
