أمن المتصفحات
ما هي المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها؟؟
الأمن التقني
المجد-
يعتبر أمن متصفحات الويب أمراً بالغ الأهمية في عصرنا الحالي وذلك بسبب الحاجة الملحة للتعامل عن طريق الإنترنت في العديد من الأمور، إلا أن متصفحات الويب لا تقدم الأمن الكافي الذي يناسب حساسية وأهمية تلك المعلومات التي يتم تبادلها بواسطة متصفحات الويب. لذلك سوف نستعرض في هذا المقال ما هي المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها والتي قد يستفيد منها مستخدمو ومطورو المتصفحات.
ما هي متصفحات الويب ؟
حسب تعريف ويكيبيديا فإن "متصفح الويب هو برنامج تطبيقي لاسترجاع وعرض و تمرير موارد المعلومات على شبكة الويب العالمية"، وعلى الرغم من أن الهدف الأساسي للمتصفحات هو الوصول للمعلومات الموجودة على شبكة الويب العالمية، إلا أنه يمكن استخدامها للوصول إلى المعلومات في الشبكات الخاصة ؛ ولعل من أشهر متصفحات الويب إنترنت إكسبلورر ، موزيلا فايرفوكس، قوقل كروم ، و أبل سفاري.
كيفية عملها؟
تعمل المتصفحات من خلال استقبال معرفات الموارد الموحدة (URLs) من المستخدمين، ومن ثم جلب المعلومات من هذه الموارد.
لماذا أمن المتصفحات ؟
o يعتبر أمن المتصفحات أمراً هاماً وذلك للعديد من الأسباب والتي نذكر أهمها:
o جهل الكثير من المستخدمين بالتهديدات التي يواجهونها أثناء استخدام متصفح الويب.
o تجاهل الكثير من المستخدمين للتحديثات.
o استخدام المتصفحات في العديد من التعاملات السرية والخاصة.
o اختلاف المواقع التي يزورها المستخدمون، من مواقع ذات سرية عالية وأخرى لا تهتم بالسرية.
o جهل الكثير من المستخدمين بخصائص ووظائف متصفحات الويب وكيفية استخدامها.
o تنازل مطوري متصفحات الويب عن السرية مقابل المزيد من وظائف المتصفحات.
o ترابط متصفحات الويب مع أنظمة التشغيل مما يزيد الخطورة التي يتعرض لها المستخدمون.
o العديد من مواقع الويب تطلب من المستخدمين تفعيل خصائص معينة تعرض أجهزتهم للخطر.
o المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها :
o من الممكن تقسيم المخاطر التي تواجهها المتصفحات إلى نوعين:
o مخاطر بسبب ثغرات أو وظائف في المتصفحات.
o مخاطر بسبب المستخدمين.
وعلى الرغم من أن البعض يعتقد أن مصممو المتصفحات غير ملزمين بتلك المخاطر التي تحدث بسبب المستخدمين، إلا أن هذا الاعتقاد خاطئ؛ لأن المتصفحات صممت لتناسب جميع فئات المستخدمين باختلاف ثقافاتهم واستخداماتهم بدون أي شروط أو قواعد لاستخدامها.
معرفات الموارد الموحدة URL) (Uniform Resource Identifier :
تستخدم معرفات الموارد الموحدة في عمليات الاصطياد الإلكتروني (Phishing) وذلك عن طريق تزييف عنوان المواقع الرسمية كمواقع البنوك على سبيل المثال، وذلك عن طريق إضافة أحرف على العنوان الأصلي أو كلمات قريبة من العنوان الأصلي، والذي يسمى بـتشويش العنوان (Address Obfuscation) ، ومن ثم تصميم صفحة الموقع الخبيث بشكل يشبه إلى حد كبير الموقع الرسمي مما يصعب على المستخدم ملاحظة الفرق، فيثق في الموقع ويقدم معلوماته الخاصة.
قد لا تعتبر معرفات الموارد الموحدة ثغرة أو عيباً في المتصفح نفسه بقدر ما تعتمد بشكل أساسي على المستخدم وحرصه على الدخول إلى المواقع الرسمية بكتابتها بنفسه، بدلاً من إتباع رابط قد يصل عبر البريد الالكتروني أو غيره.
بروتوكول نقل النص التشعبي الآمن (Hypertext Transfer Protocol Secure HTTPS):
يعتبر هذا البروتوكول من أهم البروتوكولات، لأنه يستخدم في نقل المعلومات السرية والخاصة بطريقة آمنة عبر الإنترنت، يعتمد هذا البروتوكول في عمله على عدد من الشروط التي يجب تحققها وتوفرها عند تبادل المعلومات والتي تضمن سرية وأمن القناة، تكمن مشكلة هذا البروتوكول في كون المستخدمين لا يتأكدون دائماً من وجوده عند تبادل المعلومات سرية، تُظهر المتصفحات إشارات مختلفة دليلاً على بداية التصفح الآمن عند استخدام هذا البروتوكول والتي قد تختلف من متصفح لآخر (4).
ملفات جمع البيانات (Cookies) :
ملفات جمع البيانات وهي حسب تعريف مركز التميز لأمن المعلومات : "معلومة يُرسلها خادم الويب إلى برنامج المتصفح مرفقة بالمورد المطلوب. يقوم المتصفح بتخزين تلك المعلومة مؤقتاً على أن يعيدها لخادم الويب مرة أخرى في الزيارات أو الطلبات التالية."، تعتبر ملفات جمع البيانات إحدى الوسائل التي تستخدم لزيادة سرعة عمل المتصفح في جلب البيانات وإرسالها لذلك يفضل الكثير من المستخدمين استخدامها، قد تحتوي هذه الملفات على معلومات عامة عن جهاز المستخدم ورقم التعريف الخاص به على سبيل المثال، أو معلومات خاصة مثل عدد مرات الزيارة والصفحات التي يقوم بتصفحها أو وقت آخر زيارة، تكمن مشكلة ملفات جمع البيانات في كونها ترسل في الإنترنت بدون أي نوع من التشفير مما يجعلها عرضة لأن يراها المستخدمون الآخرون على شبكة الإنترنت.
الخاتمة والتوصيات:
في الختام يمكن القول بأنه من الصعب ضمان أمن المتصفحات بسبب تطور التقنيات المستخدمة لاختراق أمن المتصفحات بسرعة فائقة مما يصعب من عملية تطوير المتصفحات وفقاً لما استجد من مخاطر، بالإضافة لذلك عدم ضمان سلامة المواقع التي يزورها المستخدمين؛ وبالتالي يعتبر أمن المتصفحات أمراً مشتركاً بين مصممي المتصفحات ومستخدميها.
توصيات لمستخدمي المتصفحات:
o الدخول إلى المواقع التي تتطلب تعاملات حساسة وهامة عن طريق مواقعها الرسمية بكتابتها، وليس عن طريق رابط من موقع آخر.
o استخدام الإضافات التي تسمح بالتحكم بكل من الجافا سكريبت (Java Script) وملفات جمع البيانات (Cookies).
o عدم تنزيل أو تثبيت أي برامج من المواقع الغير رسمية للمنتجات.
o استخدام متصفحين أحدهما للتعاملات اليومية والآخر للتعاملات الحرجة والهامة.
o المحافظة على التحديثات التي تزودها المواقع الرسمية للمتصفحات، وكذلك المحافظة على تحديث نظام التشغيل ككل.
يعتبر أمن متصفحات الويب أمراً بالغ الأهمية في عصرنا الحالي وذلك بسبب الحاجة الملحة للتعامل عن طريق الإنترنت في العديد من الأمور، إلا أن متصفحات الويب لا تقدم الأمن الكافي الذي يناسب حساسية وأهمية تلك المعلومات التي يتم تبادلها بواسطة متصفحات الويب. لذلك سوف نستعرض في هذا المقال ما هي المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها والتي قد يستفيد منها مستخدمو ومطورو المتصفحات.
ما هي متصفحات الويب ؟
حسب تعريف ويكيبيديا فإن "متصفح الويب هو برنامج تطبيقي لاسترجاع وعرض و تمرير موارد المعلومات على شبكة الويب العالمية"، وعلى الرغم من أن الهدف الأساسي للمتصفحات هو الوصول للمعلومات الموجودة على شبكة الويب العالمية، إلا أنه يمكن استخدامها للوصول إلى المعلومات في الشبكات الخاصة ؛ ولعل من أشهر متصفحات الويب إنترنت إكسبلورر ، موزيلا فايرفوكس، قوقل كروم ، و أبل سفاري.
كيفية عملها؟
تعمل المتصفحات من خلال استقبال معرفات الموارد الموحدة (URLs) من المستخدمين، ومن ثم جلب المعلومات من هذه الموارد.
لماذا أمن المتصفحات ؟
o يعتبر أمن المتصفحات أمراً هاماً وذلك للعديد من الأسباب والتي نذكر أهمها:
o جهل الكثير من المستخدمين بالتهديدات التي يواجهونها أثناء استخدام متصفح الويب.
o تجاهل الكثير من المستخدمين للتحديثات.
o استخدام المتصفحات في العديد من التعاملات السرية والخاصة.
o اختلاف المواقع التي يزورها المستخدمون، من مواقع ذات سرية عالية وأخرى لا تهتم بالسرية.
o جهل الكثير من المستخدمين بخصائص ووظائف متصفحات الويب وكيفية استخدامها.
o تنازل مطوري متصفحات الويب عن السرية مقابل المزيد من وظائف المتصفحات.
o ترابط متصفحات الويب مع أنظمة التشغيل مما يزيد الخطورة التي يتعرض لها المستخدمون.
o العديد من مواقع الويب تطلب من المستخدمين تفعيل خصائص معينة تعرض أجهزتهم للخطر.
o المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها :
o من الممكن تقسيم المخاطر التي تواجهها المتصفحات إلى نوعين:
o مخاطر بسبب ثغرات أو وظائف في المتصفحات.
o مخاطر بسبب المستخدمين.
وعلى الرغم من أن البعض يعتقد أن مصممو المتصفحات غير ملزمين بتلك المخاطر التي تحدث بسبب المستخدمين، إلا أن هذا الاعتقاد خاطئ؛ لأن المتصفحات صممت لتناسب جميع فئات المستخدمين باختلاف ثقافاتهم واستخداماتهم بدون أي شروط أو قواعد لاستخدامها.
معرفات الموارد الموحدة URL) (Uniform Resource Identifier :
تستخدم معرفات الموارد الموحدة في عمليات الاصطياد الإلكتروني (Phishing) وذلك عن طريق تزييف عنوان المواقع الرسمية كمواقع البنوك على سبيل المثال، وذلك عن طريق إضافة أحرف على العنوان الأصلي أو كلمات قريبة من العنوان الأصلي، والذي يسمى بـتشويش العنوان (Address Obfuscation) ، ومن ثم تصميم صفحة الموقع الخبيث بشكل يشبه إلى حد كبير الموقع الرسمي مما يصعب على المستخدم ملاحظة الفرق، فيثق في الموقع ويقدم معلوماته الخاصة.
قد لا تعتبر معرفات الموارد الموحدة ثغرة أو عيباً في المتصفح نفسه بقدر ما تعتمد بشكل أساسي على المستخدم وحرصه على الدخول إلى المواقع الرسمية بكتابتها بنفسه، بدلاً من إتباع رابط قد يصل عبر البريد الالكتروني أو غيره.
بروتوكول نقل النص التشعبي الآمن (Hypertext Transfer Protocol Secure HTTPS):
يعتبر هذا البروتوكول من أهم البروتوكولات، لأنه يستخدم في نقل المعلومات السرية والخاصة بطريقة آمنة عبر الإنترنت، يعتمد هذا البروتوكول في عمله على عدد من الشروط التي يجب تحققها وتوفرها عند تبادل المعلومات والتي تضمن سرية وأمن القناة، تكمن مشكلة هذا البروتوكول في كون المستخدمين لا يتأكدون دائماً من وجوده عند تبادل المعلومات سرية، تُظهر المتصفحات إشارات مختلفة دليلاً على بداية التصفح الآمن عند استخدام هذا البروتوكول والتي قد تختلف من متصفح لآخر (4).
ملفات جمع البيانات (Cookies) :
ملفات جمع البيانات وهي حسب تعريف مركز التميز لأمن المعلومات : "معلومة يُرسلها خادم الويب إلى برنامج المتصفح مرفقة بالمورد المطلوب. يقوم المتصفح بتخزين تلك المعلومة مؤقتاً على أن يعيدها لخادم الويب مرة أخرى في الزيارات أو الطلبات التالية."، تعتبر ملفات جمع البيانات إحدى الوسائل التي تستخدم لزيادة سرعة عمل المتصفح في جلب البيانات وإرسالها لذلك يفضل الكثير من المستخدمين استخدامها، قد تحتوي هذه الملفات على معلومات عامة عن جهاز المستخدم ورقم التعريف الخاص به على سبيل المثال، أو معلومات خاصة مثل عدد مرات الزيارة والصفحات التي يقوم بتصفحها أو وقت آخر زيارة، تكمن مشكلة ملفات جمع البيانات في كونها ترسل في الإنترنت بدون أي نوع من التشفير مما يجعلها عرضة لأن يراها المستخدمون الآخرون على شبكة الإنترنت.
الخاتمة والتوصيات:
في الختام يمكن القول بأنه من الصعب ضمان أمن المتصفحات بسبب تطور التقنيات المستخدمة لاختراق أمن المتصفحات بسرعة فائقة مما يصعب من عملية تطوير المتصفحات وفقاً لما استجد من مخاطر، بالإضافة لذلك عدم ضمان سلامة المواقع التي يزورها المستخدمين؛ وبالتالي يعتبر أمن المتصفحات أمراً مشتركاً بين مصممي المتصفحات ومستخدميها.
توصيات لمستخدمي المتصفحات:
o الدخول إلى المواقع التي تتطلب تعاملات حساسة وهامة عن طريق مواقعها الرسمية بكتابتها، وليس عن طريق رابط من موقع آخر.
o استخدام الإضافات التي تسمح بالتحكم بكل من الجافا سكريبت (Java Script) وملفات جمع البيانات (Cookies).
o عدم تنزيل أو تثبيت أي برامج من المواقع الغير رسمية للمنتجات.
o استخدام متصفحين أحدهما للتعاملات اليومية والآخر للتعاملات الحرجة والهامة.
o المحافظة على التحديثات التي تزودها المواقع الرسمية للمتصفحات، وكذلك المحافظة على تحديث نظام التشغيل ككل.
مركز التمييز لأمن المعلومات