1997年9月30日，Microsoft在其網站上宣稱，使用者的瀏覽器接受「Cookie」並不 會讓網站有機會存取個人電腦，或是有關使用者的其他資訊；除非使用者自己另 外做了多餘的設定，此舉，說明了微軟對其瀏覽器IE 4.0版安全性的信心。在過 去的幾個月當中，使用者對於有免費的餅乾(Cookie)可吃，一直抱持著懷疑的態 度，深怕提供餅乾的人會變成芝麻街裡的餅乾怪獸，而此一聲明的目的無非就是 要使用者「放輕鬆」。事實上，使用者真的可以高枕無憂嗎？看起來好像並非如 此！ Microsoft與Netscape兩大瀏覽器公司，到目前為止不斷地在功能上相互較勁，新 版出得快到令人眼花撩亂；對於不斷地製造瀏覽器的安全漏洞，兩家公司也有志 一同不遑多讓。貝爾實驗室(Bell Lab)的科 學家Vinod Anupam先生愷切地指出，「只是應急地修正安全的漏洞是不夠的，瀏 覽器的開發必需做全盤瞭解，而不是像救火隊到處防堵。」至於最近一年發生的 瀏覽器安全漏洞到底有哪些？且看「WWW Browser Security & Privacy Flaws」所 做的大公開。 ●1997年10月17日，德國Jabadoo Communications公司的Ralf Huskes先生發現 Microsoft IE 4.0版中的JavaScript存有安全漏洞，當使用者瀏覽含有「惡意」的網 站時會遭到網站伺服器操作員存取已知名稱的文字、HTML及影像檔。Microsoft 已緊急推出軟體補強以修正此一問題，相關文件可以查詢Microsoft Fix Now Available for "Freiburg" Text─Viewing Issue一文。在未安裝該份軟體補強之前，MS IE 4.0的使用者被建議取消Active Scripting的功能使用，除非對瀏覽的網站具有相 當程度的信任。 ●1997年9月8日，MIT的Tim Macinta先生指出，MS IE中的Java配置有缺陷，此一 缺陷將導致惡意網站的操作員直接摧毀使用者硬碟上的資料。MS IE 3.0及4.0的使 用者只要是自Microsoft下載Java(SDK 2.0 beta)，並使用於Windows 95或NT的平台 均會受到威脅；Macintosh與Windows 3.1的使用者則不受影響。 【】 在短短不到半年時間之內，微軟與Netscape的瀏覽器就走樣了這麼多次，所影響 的平台從Windows 95/NT到Unix，即使有防火牆的屏障也不能免疫，這樣的瀏覽 器叫人如何能夠放心？難道這種其況的發生，與兩家公司拼命釋出新版軟體有關 ？ 在過去6個月中並沒有Cookie的安全漏洞新聞，頻頻出現的反而是Java與JavaScript 的問題，看來喝「爪哇」牌咖啡(Java)雖然是跟著流行走，卻一樣沒法令人安心 。雖然Cookie的安全威脅大致已經事過境遷，但其發生的原因仍然值得我們回顧 。話說電子商務一直是微軟無法忘情的賺錢好地方，雖然其他廠商如IBM與HP併 購的Veri Fone動作頻頻，微軟仍力拱自己的「Merchant Server」軟體，企圖在這 個市場上分得一杯羹，而Cookie就扮演了重要的角色。這一塊小Cookie約佔4K的 檔案大小，由伺服器產生並儲存在使用者的PC上，當使用者使用提供Cookie功能 的瀏覽器瀏覽網站時，Merchant Server就會賦予一個「Shopper ID」，並更新使用 者的Cookie資訊內容。如果網站容許使用者自行訂定自己的喜好，例如新聞論壇 的項目，那麼這些喜好的資訊也會儲存到cookie.txt(或cookies.txt)檔案內。當下一 次使用者再度光臨該網站時，伺服器藉著Cookie檔的資訊紀錄，就可以知道使用 者是誰、其設定為何，甚至最後使用者的使用環境等。 Cookie的原始構想其實並不差，對使用者而言確實也很方便，但是問題在誰曉得 伺服器會給使用者什麼樣的Cookie呢？舉例來說，一個駭客網站就可以輕而易舉 地將電腦病毒送給吃Cookie的使用者。對於這種安全漏洞，連著名的電腦雜誌公 司ZDNet也不禁手癢，推出了CookieMaster軟體以協助網友們拒吃餅乾。

1997年9月30日，Microsoft在其網站上宣稱，使用者的瀏覽器接受「Cookie」並不 會讓網站有機會存取個人電腦，或是有關使用者的其他資訊；除非使用者自己另 外做了多餘的設定，此舉，說明了微軟對其瀏覽器IE 4.0版安全性的信心。在過 去的幾個月當中，使用者對於有免費的餅乾(Cookie)可吃，一直抱持著懷疑的態 度，深怕提供餅乾的人會變成芝麻街裡的餅乾怪獸，而此一聲明的目的無非就是 要使用者「放輕鬆」。事實上，使用者真的可以高枕無憂嗎？看起來好像並非如 此！ Microsoft與Netscape兩大瀏覽器公司，到目前為止不斷地在功能上相互較勁，新 版出得快到令人眼花撩亂；對於不斷地製造瀏覽器的安全漏洞，兩家公司也有志 一同不遑多讓。貝爾實驗室(Bell Lab)的科 學家Vinod Anupam先生愷切地指出，「只是應急地修正安全的漏洞是不夠的，瀏 覽器的開發必需做全盤瞭解，而不是像救火隊到處防堵。」至於最近一年發生的 瀏覽器安全漏洞到底有哪些？且看「WWW Browser Security & Privacy Flaws」所 做的大公開。 ●1997年10月17日，德國Jabadoo Communications公司的Ralf Huskes先生發現 Microsoft IE 4.0版中的JavaScript存有安全漏洞，當使用者瀏覽含有「惡意」的網 站時會遭到網站伺服器操作員存取已知名稱的文字、HTML及影像檔。Microsoft 已緊急推出軟體補強以修正此一問題，相關文件可以查詢Microsoft Fix Now Available for "Freiburg" Text─Viewing Issue一文。在未安裝該份軟體補強之前，MS IE 4.0的使用者被建議取消Active Scripting的功能使用，除非對瀏覽的網站具有相 當程度的信任。 ●1997年9月8日，MIT的Tim Macinta先生指出，MS IE中的Java配置有缺陷，此一 缺陷將導致惡意網站的操作員直接摧毀使用者硬碟上的資料。MS IE 3.0及4.0的使 用者只要是自Microsoft下載Java(SDK 2.0 beta)，並使用於Windows 95或NT的平台 均會受到威脅；Macintosh與Windows 3.1的使用者則不受影響。 【】 在短短不到半年時間之內，微軟與Netscape的瀏覽器就走樣了這麼多次，所影響 的平台從Windows 95/NT到Unix，即使有防火牆的屏障也不能免疫，這樣的瀏覽 器叫人如何能夠放心？難道這種其況的發生，與兩家公司拼命釋出新版軟體有關 ？ 在過去6個月中並沒有Cookie的安全漏洞新聞，頻頻出現的反而是Java與JavaScript 的問題，看來喝「爪哇」牌咖啡(Java)雖然是跟著流行走，卻一樣沒法令人安心 。雖然Cookie的安全威脅大致已經事過境遷，但其發生的原因仍然值得我們回顧 。話說電子商務一直是微軟無法忘情的賺錢好地方，雖然其他廠商如IBM與HP併 購的Veri Fone動作頻頻，微軟仍力拱自己的「Merchant Server」軟體，企圖在這 個市場上分得一杯羹，而Cookie就扮演了重要的角色。這一塊小Cookie約佔4K的 檔案大小，由伺服器產生並儲存在使用者的PC上，當使用者使用提供Cookie功能 的瀏覽器瀏覽網站時，Merchant Server就會賦予一個「Shopper ID」，並更新使用 者的Cookie資訊內容。如果網站容許使用者自行訂定自己的喜好，例如新聞論壇 的項目，那麼這些喜好的資訊也會儲存到cookie.txt(或cookies.txt)檔案內。當下一 次使用者再度光臨該網站時，伺服器藉著Cookie檔的資訊紀錄，就可以知道使用 者是誰、其設定為何，甚至最後使用者的使用環境等。 Cookie的原始構想其實並不差，對使用者而言確實也很方便，但是問題在誰曉得 伺服器會給使用者什麼樣的Cookie呢？舉例來說，一個駭客網站就可以輕而易舉 地將電腦病毒送給吃Cookie的使用者。對於這種安全漏洞，連著名的電腦雜誌公 司ZDNet也不禁手癢，推出了CookieMaster軟體以協助網友們拒吃餅乾。