使用 Safari 可能無法在 Blogger 網站留言﹍聊聊 cookie

幾個月前「Blogger 社團」有成員反應表示她的 Blogger 網站無法留言，這現象看起來挺離奇，因此花了一些時間辦案。 雖然最終水落石出，但對於結果感覺不是很舒服，因為這是「蘋果 MAC」體系的一個難解現象。

早期前端開發人員、站長們對於 IE 的網頁相容性很頭痛，好不容易現在 IE 被淘汰了，結果「蘋果」的 Safari、iOS 系統取而代之。

過去為了方便處理蘋果的作業環境，我寫過一些文章，例如「利用 Chrome 對 iOS 裝置進行除錯」。那麼本篇除了做為記錄，也順便聊聊感想。

(圖片出處: pixabay.com)

一、Safari 瀏覽器的問題

由於原始貼文被 FB 官方逕自刪除，現在只能藉當初留下的筆記整理一下辦案經過：

• 案主表示她網站的 Blogger 官方留言板無法留言，於是我過去留言測試，並沒發現任何異狀
• 案主後來自行測出，在 Chrome 留言時 ok，但使用 Safari 則不行
• 從案主提供的截圖發現，在留言板顯示 Google 帳號的位置，並未顯示名稱，我研判在 Safari 之下，Google 帳號會有問題
• 經測試後，若不登入 Google 帳號，例如使用匿名留言，則無問題
• 網路查證的結果，原來 Safari 預設不允許使用 cookie，導致 Google 無法判斷帳號是否為登入的狀態，那麼自然無法以 Google 帳號留言了
• 然而蘋果裝置預設的瀏覽器都是 Safari，所以使用 Safari 的人不少，那麼只要是喜歡用蘋果的站長、或是訪客，都可能面臨無法在 Blogger 網站留言的窘境
• 除非這些人都知道，要改用「匿名」才能在 Blogger 留言

這篇國外的 Blogger 論壇討論串「Some people cannot leave comments on my blog post」算是一個佐證，如此一來是非常麻煩的，雖然 Blogger 站長現在起算是知道這件事了，可以自行避免使用 Safari，改用 Chrome 來留言，但是訪客哪會知道這件事呢？

解決辦法大概是這樣吧，例如 Blogger 站長們可在自己網站的留言注意事項，新增一條：

• 請避免使用 Safari 瀏覽器，否則可能無法成功留言！

若使用 Safari 進入 Blogger 後台，也會看到上圖的警告字樣，所以 Blogger 官方也知道這個現象，我們就別用 Safari 了吧！

二、為何 Safari 不允許使用 cookie

既然不允許使用 cookie 這麼不方便，為何 Safari 要這麼做呢？一定有其原因，來看看這篇「關於Cookie：你必須知道的事」，稍微整理一下內容：

• cookie 可以收集用戶行為 → WFU：收集行為又怎麼樣呢，又不是個資隱私資訊。這些提供免費服務的公司，得到一些數據做為交換，跟使用者之間各取所需，很公平吧
• 2012年5月，歐盟法律做出明確規定，如果用cookie追蹤用戶的使用習慣，網站必須取得使用者的 "明確同意" → WFU：這我沒什麼意見，想做歐洲生意的話就遵守別人的遊戲規則，但我對於網站一直彈出這些 cookie 提醒文字很反感
• cookie 可以實現自動登錄，存放暫時資訊(例如購物車) → WFU：這個技術帶來便利，但這些機密資訊有可能遭到竊取，或盜用身份
• 為了防止機密資訊被惡意第三方截獲，cookie 應進行加密、設定有效期等等反制措施
• 瀏覽器可能存在安全性漏洞，導致 cookie 機密資訊被駭客竊取
• 若使用公共電腦、公共 wifi，則可輕易取得 cookie 資訊

從以上資訊來看，使用 cookie 的主要風險，來自於機密資料可能被竊取(並且被破解)。但是基本上 cookie 只有電腦的主人自己看得到，如果會被看到的話，除了是瀏覽器有漏洞被攻擊(這是瀏覽器自己的問題，要加強技術)，一定是這些情形：

• 在公共電腦、公共環境留下機密資訊，例如曾經登入帳號
• 被釣魚網站誘使登入帳號

三、不允許 cookie 是否合理

1. 因噎廢食

所以很明顯的，Safari 預設不允許 cookie，可以有效預防，使用者不小心在公開場所使用電腦，不小心輸入過帳號密碼這樣的機密資料，被存成 cookie，而被下一個有異心的使用者，偷偷打開 cookie 來看，並且成功破解機密資料，進而盜用前一個使用者的身份做壞事。

這樣來看，Safari 是貼心的幫糊塗的使用者在糊塗的場所使用電腦時把關，雖然讓所有聰明的使用者比較不方便，不過成功避免了邪惡勢力的擴張。

但是這樣真的合理嗎，怎麼感覺有點像成語「因噎廢食」？

而且使用者每次都要輸入帳號密碼，我看是被盜用的機率更高，因為每次輸入都會有被偷看到、或是被側錄的風險。


2. 技術問題

如果不是為了一小部分的情境，而犧牲了多數使用者的便利，那麼另一個可能，說不定才是 Safari 這個決策的真正原因──技術問題。

瀏覽器技術就算再進步，都會有駭客持續找各種漏洞來攻擊，想辦法獲取 cookie 資訊並破解。那麼瀏覽器與其不斷與駭客對抗，不如乾脆直接關閉 cookie，讓你什麼都看不到，不就是最輕省的作法了嗎？

若使用者選擇開啟 cookie 設定，自然等同自行承擔 cookie 可能被駭的風險，瀏覽器要背負的責任相對變輕了，這連串分析下來果然是很聰明的決策。

至於蘋果這麼做恰不恰當，雖然我個人不喜歡，但似乎也沒什麼立場置喙，反正我也不使用，就交由瀏覽器的市佔率來決定了。

更多 Blogger 留言相關文章：