早期前端開發人員、站長們對於 IE 的網頁相容性很頭痛,好不容易現在 IE 被淘汰了,結果「蘋果」的 Safari、iOS 系統取而代之。
過去為了方便處理蘋果的作業環境,我寫過一些文章,例如「利用 Chrome 對 iOS 裝置進行除錯」。那麼本篇除了做為記錄,也順便聊聊感想。
(圖片出處: pixabay.com)
一、Safari 瀏覽器的問題
由於原始貼文被 FB 官方逕自刪除,現在只能藉當初留下的筆記整理一下辦案經過:
- 案主表示她網站的 Blogger 官方留言板無法留言,於是我過去留言測試,並沒發現任何異狀
- 案主後來自行測出,在 Chrome 留言時 ok,但使用 Safari 則不行
- 從案主提供的截圖發現,在留言板顯示 Google 帳號的位置,並未顯示名稱,我研判在 Safari 之下,Google 帳號會有問題
- 經測試後,若不登入 Google 帳號,例如使用匿名留言,則無問題
- 網路查證的結果,原來 Safari 預設不允許使用 cookie,導致 Google 無法判斷帳號是否為登入的狀態,那麼自然無法以 Google 帳號留言了
- 然而蘋果裝置預設的瀏覽器都是 Safari,所以使用 Safari 的人不少,那麼只要是喜歡用蘋果的站長、或是訪客,都可能面臨無法在 Blogger 網站留言的窘境
- 除非這些人都知道,要改用「匿名」才能在 Blogger 留言
這篇國外的 Blogger 論壇討論串「Some people cannot leave comments on my blog post」算是一個佐證,如此一來是非常麻煩的,雖然 Blogger 站長現在起算是知道這件事了,可以自行避免使用 Safari,改用 Chrome 來留言,但是訪客哪會知道這件事呢?
解決辦法大概是這樣吧,例如 Blogger 站長們可在自己網站的留言注意事項,新增一條:
- 請避免使用 Safari 瀏覽器,否則可能無法成功留言!
若使用 Safari 進入 Blogger 後台,也會看到上圖的警告字樣,所以 Blogger 官方也知道這個現象,我們就別用 Safari 了吧!
二、為何 Safari 不允許使用 cookie
既然不允許使用 cookie 這麼不方便,為何 Safari 要這麼做呢?一定有其原因,來看看這篇「關於Cookie:你必須知道的事」,稍微整理一下內容:
- cookie 可以收集用戶行為 → WFU:收集行為又怎麼樣呢,又不是個資隱私資訊。這些提供免費服務的公司,得到一些數據做為交換,跟使用者之間各取所需,很公平吧
- 2012年5月,歐盟法律做出明確規定,如果用cookie追蹤用戶的使用習慣,網站必須取得使用者的 "明確同意" → WFU:這我沒什麼意見,想做歐洲生意的話就遵守別人的遊戲規則,但我對於網站一直彈出這些 cookie 提醒文字很反感
- cookie 可以實現自動登錄,存放暫時資訊(例如購物車) → WFU:這個技術帶來便利,但這些機密資訊有可能遭到竊取,或盜用身份
- 為了防止機密資訊被惡意第三方截獲,cookie 應進行加密、設定有效期等等反制措施
- 瀏覽器可能存在安全性漏洞,導致 cookie 機密資訊被駭客竊取
- 若使用公共電腦、公共 wifi,則可輕易取得 cookie 資訊
從以上資訊來看,使用 cookie 的主要風險,來自於機密資料可能被竊取(並且被破解)。但是基本上 cookie 只有電腦的主人自己看得到,如果會被看到的話,除了是瀏覽器有漏洞被攻擊(這是瀏覽器自己的問題,要加強技術),一定是這些情形:
- 在公共電腦、公共環境留下機密資訊,例如曾經登入帳號
- 被釣魚網站誘使登入帳號
三、不允許 cookie 是否合理
1. 因噎廢食
所以很明顯的,Safari 預設不允許 cookie,可以有效預防,使用者不小心在公開場所使用電腦,不小心輸入過帳號密碼這樣的機密資料,被存成 cookie,而被下一個有異心的使用者,偷偷打開 cookie 來看,並且成功破解機密資料,進而盜用前一個使用者的身份做壞事。
這樣來看,Safari 是貼心的幫糊塗的使用者在糊塗的場所使用電腦時把關,雖然讓所有聰明的使用者比較不方便,不過成功避免了邪惡勢力的擴張。
但是這樣真的合理嗎,怎麼感覺有點像成語「因噎廢食」?
而且使用者每次都要輸入帳號密碼,我看是被盜用的機率更高,因為每次輸入都會有被偷看到、或是被側錄的風險。
2. 技術問題
如果不是為了一小部分的情境,而犧牲了多數使用者的便利,那麼另一個可能,說不定才是 Safari 這個決策的真正原因──技術問題。
瀏覽器技術就算再進步,都會有駭客持續找各種漏洞來攻擊,想辦法獲取 cookie 資訊並破解。那麼瀏覽器與其不斷與駭客對抗,不如乾脆直接關閉 cookie,讓你什麼都看不到,不就是最輕省的作法了嗎?
若使用者選擇開啟 cookie 設定,自然等同自行承擔 cookie 可能被駭的風險,瀏覽器要背負的責任相對變輕了,這連串分析下來果然是很聰明的決策。
至於蘋果這麼做恰不恰當,雖然我個人不喜歡,但似乎也沒什麼立場置喙,反正我也不使用,就交由瀏覽器的市佔率來決定了。
更多 Blogger 留言相關文章:
作為Blog writer, Safiri這個技術問題長遠或會為我們帶來壞影響呢, 希望Safiri能儘快解決這個問題, 否則只能呼籲大家轉用google chrome呢 .
回覆刪除Firefox 和 Chrome 也都在往 Safari 的方向靠攏喔
回覆刪除