Google对Cookie的一个安全考虑

很奇怪，在发表这篇文章之后，这几天居然又正常的记住密码了。在家里在公司都不用再输入密码了。很诡异~

 

在很多Web产品的登录界面中，一般都会有一个“记住我”这样的一个选项，当你勾选了这个选项的时候，那么下次可能你就不需要再登录就可以直接进入该产品的后台了。
Google很多产品也提供了这样的功能。但是最近使用Google Reader发现，我虽然每次都选择了“记住我”这个选项，但是有时候上班的时候打开Google Reader的时候还是需要重新输入用户名密码。很诡异。
其实这个"记住我"的功能无非就是在本地记录一些Cookie，如果启动时服务器接收到这些Cookie就当用户已经登录过了，不要再要求用户输入用户名密码了。用Web Developer看了一下本地的Cookie，除了一个会话Cookie（关闭浏览器即失效）之外，其余的Cookie都是至少在两年后才过期的。
问了一下同事，发现他那边挺正常的，很少需要自己输入。联想自己的情况，终于发现，原来是IP搞的鬼，家里和公司用的IP不一样。Google在收到Cookie时肯定对其进行了完整性验证，发现IP地址和当初写入时的不一致（很可能Cookie中包含了IP地址的信息，例如直接使用IP作为密钥等），因此认为这是个不安全的Cookie，因此拒绝了这个Cookie的继续使用。
想象一下，如果有人用其他帐户登录了你的机器，盗取了你帐户下的Cookie（这在window下虽然可以通过限制权限来阻止，但还是有一些小trick来获取的），然后用到他自己的机器上，这样他就可以无声无息的进入你的帐号了。通过对IP做了一下简单的限制就可以极大的提高了Cookie使用的安全性了。
看来Google现在还是考虑得挺周全的，不单全部产品都使用了https来执行登录操作，连IP这个小细节都考虑到了。这是值得我们借鉴的。
当然，对于非常隐私的数据，是不推荐存放在本地尤其是Cookie中的，这是Web设计的基本原则。