معهد سكيورتي العرب | وظائف خالية
وظائف 2018 سوق السيارات عقارات 2018 الارشيف البحث
اسم العضو:  
كلمة المرور:     
تسجيل المساعدة قائمة الأعضاء اظهار المشاركات الجديدة اظهارمشاركات اليوم

امن المتصفحات


امن المتصفحات
التوقيت الحالي : 03-28-2024, 11:10 PM
مستخدمين يتصفحوا هذا الموضوع:
الكاتب: dr.wolf
آخر رد: dr.wolf
الردود : 0
المشاهدات : 1846

إضافة رد 

امن المتصفحات

الكاتب الموضوع

رقم العضوية :3
الاقامة : ام الدنيا
التواجد : غير متصل
معلومات العضو
المشاركات : 7,392
الإنتساب : Oct 2010
السمعة : 5


بيانات موقعي اسم الموقع : سكيورتي العرب
اصدار المنتدى : 1.6.8

مشاركات : #1
امن المتصفحات

امن المتصفحات


السلام عليكم ورحمة الله وبركاته :

امن المتصفحات


المقدمة:

يعتبر أمن متصفحات الويب أمراً بالغ الأهمية في عصرنا الحالي وذلك بسبب الحاجة الملحة للتعامل عن طريق الإنترنت في العديد من الأمور، إلا أن متصفحات الويب لا تقدم الأمن الكافي الذي يناسب حساسية وأهمية تلك المعلومات التي يتم تبادلها بواسطة متصفحات الويب. لذلك سوف نستعرض في هذا المقال ما هي المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها والتي قد يستفيد منها مستخدمو ومطورو المتصفحات.




ما هي متصفحات الويب ؟
تعريفها:

حسب تعريف ويكيبيديا فإن "متصفح الويب هو برنامج تطبيقي لاسترجاع وعرض و تمرير موارد المعلومات على شبكة الويب العالمية"(1)، وعلى الرغم من أن الهدف الأساسي للمتصفحات هو الوصول للمعلومات الموجودة على شبكة الويب العالمية، إلا أنه يمكن استخدامها للوصول إلى المعلومات في الشبكات الخاصة (1)؛ ولعل من أشهر متصفحات الويب إنترنت إكسبلورر ، موزيلا فايرفوكس، قوقل كروم ، و أبل سفاري.
كيفية عملها:

تعمل المتصفحات من خلال استقبال معرفات الموارد الموحدة (URLs) من المستخدمين، ومن ثم جلب المعلومات من هذه الموارد.




لماذا أمن المتصفحات ؟

يعتبر أمن المتصفحات أمراً هاماً وذلك للعديد من الأسباب والتي نذكر أهمها:

جهل الكثير من المستخدمين بالتهديدات التي يواجهونها أثناء استخدام متصفح الويب.
تجاهل الكثير من المستخدمين للتحديثات.
استخدام المتصفحات في العديد من التعاملات السرية والخاصة.
اختلاف المواقع التي يزورها المستخدمون، من مواقع ذات سرية عالية وأخرى لا تهتم بالسرية.
جهل الكثير من المستخدمين بخصائص ووظائف متصفحات الويب وكيفية استخدامها.
تنازل مطوري متصفحات الويب عن السرية مقابل المزيد من وظائف المتصفحات.
ترابط متصفحات الويب مع أنظمة التشغيل مما يزيد الخطورة التي يتعرض لها المستخدمون.
العديد من مواقع الويب تطلب من المستخدمين تفعيل خصائص معينة تعرض أجهزتهم للخطر. (2)

المخاطر التي تهدد أمن المتصفحات وكيفية الحماية منها :

من الممكن تقسيم المخاطر التي تواجهها المتصفحات إلى نوعين:

مخاطر بسبب ثغرات أو وظائف في المتصفحات.
مخاطر بسبب المستخدمين.

وعلى الرغم من أن البعض يعتقد أن مصممو المتصفحات غير ملزمين بتلك المخاطر التي تحدث بسبب المستخدمين، إلا أن هذا الاعتقاد خاطئ؛ لأن المتصفحات صممت لتناسب جميع فئات المستخدمين باختلاف ثقافاتهم واستخداماتهم بدون أي شروط أو قواعد لاستخدامها.

في الجزء المتبقي من هذا المقال سوف نستعرض أهم هذه المخاطر وكيفية الحماية منها.




معرفات الموارد الموحدة URL) (Uniform Resource Identifier :

تستخدم معرفات الموارد الموحدة في عمليات الاصطياد الإلكتروني (Phishing) وذلك عن طريق تزييف عنوان المواقع الرسمية كمواقع البنوك على سبيل المثال، وذلك عن طريق إضافة أحرف على العنوان الأصلي أو كلمات قريبة من العنوان الأصلي، والذي يسمى بـتشويش العنوان (Address Obfuscation) ، ومن ثم تصميم صفحة الموقع الخبيث بشكل يشبه إلى حد كبير الموقع الرسمي مما يصعب على المستخدم ملاحظة الفرق، فيثق في الموقع ويقدم معلوماته الخاصة.

قد لا تعتبر معرفات الموارد الموحدة ثغرة أو عيباً في المتصفح نفسه بقدر ما تعتمد بشكل أساسي على المستخدم وحرصه على الدخول إلى المواقع الرسمية بكتابتها بنفسه، بدلاً من إتباع رابط قد يصل عبر البريد الالكتروني أو غيره.(3)




بروتوكول نقل النص التشعبي الآمن (Hypertext Transfer Protocol Secure HTTPS):

يعتبر هذا البروتوكول من أهم البروتوكولات، لأنه يستخدم في نقل المعلومات السرية والخاصة بطريقة آمنة عبر الإنترنت، يعتمد هذا البروتوكول في عمله على عدد من الشروط التي يجب تحققها وتوفرها عند تبادل المعلومات والتي تضمن سرية وأمن القناة، تكمن مشكلة هذا البروتوكول في كون المستخدمين لا يتأكدون دائماً من وجوده عند تبادل المعلومات سرية، تُظهر المتصفحات إشارات مختلفة دليلاً على بداية التصفح الآمن عند استخدام هذا البروتوكول والتي قد تختلف من متصفح لآخر (4).




ملفات جمع البيانات (Cookies) :

ملفات جمع البيانات وهي حسب تعريف مركز التميز لأمن المعلومات : "معلومة يُرسلها خادم الويب إلى برنامج المتصفح مرفقة بالمورد المطلوب. يقوم المتصفح بتخزين تلك المعلومة مؤقتاً على أن يعيدها لخادم الويب مرة أخرى في الزيارات أو الطلبات التالية."، تعتبر ملفات جمع البيانات إحدى الوسائل التي تستخدم لزيادة سرعة عمل المتصفح في جلب البيانات وإرسالها لذلك يفضل الكثير من المستخدمين استخدامها، قد تحتوي هذه الملفات على معلومات عامة عن جهاز المستخدم ورقم التعريف الخاص به على سبيل المثال، أو معلومات خاصة مثل عدد مرات الزيارة والصفحات التي يقوم بتصفحها أو وقت آخر زيارة، تكمن مشكلة ملفات جمع البيانات في كونها ترسل في الإنترنت بدون أي نوع من التشفير مما يجعلها عرضة لأن يراها المستخدمون الآخرون على شبكة الإنترنت.

تقسم ملفات جمع البيانات إلى نوعين:

ملفات جمع البيانات للجلسة: والتي تمسح من المتصفح بمجرد إغلاقه.
ملفات جمع البيانات الدائمة: والتي تبقى في مخزنة في الجهاز حتى بعد إغلاق المتصفح.(5)

توفر العديد من المتصفحات خيارات عدة للتخلص من ملفات جمع البيانات والتي ينصح بمسحها بشكل دوري أو عدم تخزينها بالأصل.




المحتوى النشط (Active Content) :

يستخدم المحتوى النشط لإضافة بعض الخصائص والوظائف إلى صفحة الويب، تتعدد الأدوات التي تستخدم في المحتوى النشط هنا نذكر أهمها:
جافا سكريبت (Java Script) :

هو أحد أنواع السكريبتات المستخدمة في الويب ويعتبر من أشهرها، يتميز الجافا سكريبت بكونه أحد أسهل السكريبتات التي يمكن استخدامها ولا يحتاج إلى معرفة كبيرة بالبرمجة، وفي المقابل فهو يوفر الكثير من الوظائف على صفحة الإنترنت مما يجعل مصمم صفحة الويب ومستخدمها يفضلون استخدامه، في المقابل تعتبر هذه الميزات من أهم عيوب الجافا سكريبت كونها تصبح من اللغات التي يفضلها المخترقون للوصول إلى أجهزة الضحايا أو تحويلهم من صفحة إلى صفحة أخرى بدون علمهم (5).
جافا أبلت (Java Applet) و أكتف أكس (ActiveX) :

يختلف الأكتف أكس والجافا أبلت عن الجافا سكريبت في كونهم يقومون بتحميل برامج أماكن أخرى إلى جهاز المستخدم والتي قد تسمح للمخترق باختراق جهاز الضحية والتحكم فيه بدون إذنه، تعتبر الجافا أبلت أكثر أمنا من الأكتف أكس لأنها محدودة بالبيئة التي قد تعمل من خلالها (5)، يمكن الحماية من الأكواد الخبيثة التي قد تكون في الجافا أبلت أوالأكتف أكس بمنع تشغيلها ما دامت لا يمكن الوثوق أو التأكد من مصدرها و كيفية عملها، تمنع المتصفحات المحتويات النشطة بطريقة افتراضية مثل متصفح موزيلا فايرفوكس، لذلك إذا لم يتم منعها مباشرة من المتصفح يفضل منعها يدوياً بواسطة المستخدم ومن ثم السماح للمحتويات التي يمكن الوثوق بها.
النوافذ المنبثقة (Pop up windows) :

تعتبر النوافذ المنبثقة أقل خطراً من غيرها وذلك بسبب وجود موانع النوافذ المنبثقة في معظم المتصفحات، تستخدم النوافذ المنبثقة في الاصطياد الإلكتروني، حيث تظهر نافذة منبثقة تطلب من المستخدم بعض البيانات مثل اسم المستخدم وكلمة المرور لضرورة هذه المعلومات في عملية تحديث البيانات وهي في الواقع لا تمت للموقع الرسمي بصلة، في ظل وجود موانع هذه النوافذ فإنها خطرها يعتبر أقل حده (3).
التحديثات:

تعتبر التحديثات الصامتة (Silent Updates) أحد الطرق الجيدة لتعزيز أمن المتصفحات، تستخدم هذه التقنية في متصفح قوقل كروم، والتي تعتمد في عملها على تحديث المتصفح بدون الرجوع للمستخدم وبالتالي بقاء متصفحات المستخدمين في حالة تحديث مستمرة مما يضمن أنهم لن يتعرضون لهجمات بسبب ثغرات تم اكتشافها، تكمن قوة التحديثات الصامتة في كون بعض مستخدمين المتصفحات لا يعلمون مدى أهمية التحديثات التي توفرها المتصفحات، ففي دراسة أجريت عام 2008 على مستخدمي الإنترنت الذين قاموا بزيارة خوادم قوقل، أظهرت النتائج أن 45.2% من المستخدمين لا يقومون باستخدام النسخ الحديثة من المتصفحات التابعة لهم (6) وبالتالي قد لا يقومون بتنزيلها مما يعرض أجهزتهم للخطر. (6)
إضافات المتصفحات (Browsers log-ins and add-ons)

إضافات المتصفحات من أحد الأمور الأساسية في المتصفحات فهي تضيف بعض الوظائف للمتصفح، يعتبر عملها شبيهاً إلى حد ما بالأكتف أكس إلا أنها تختلف عنه في كونها لا يمكن تنفيذها خارج المتصفح، لا تعتبر الإضافات خطيرة كونها تختلف في طريقة عملها، فبعضها يوفر سرية أكثر للمستخدمين وبعضها يحوي برمحيات خبيثة قد تسمح للمخترق بالدخول من خلالها إلى جهاز الضحية، يتبع غالباً مصممو الإضافات المقاييس المعتمدة (2) .
الخاتمة والتوصيات:

في الختام يمكن القول بأنه من الصعب ضمان أمن المتصفحات بسبب تطور التقنيات المستخدمة لاختراق أمن المتصفحات بسرعة فائقة مما يصعب من عملية تطوير المتصفحات وفقاً لما استجد من مخاطر، بالإضافة لذلك عدم ضمان سلامة المواقع التي يزورها المستخدمين؛ وبالتالي يعتبر أمن المتصفحات أمراً مشتركاً بين مصممي المتصفحات ومستخدميها.


توصيات لمستخدمي المتصفحات:

الدخول إلى المواقع التي تتطلب تعاملات حساسة وهامة عن طريق مواقعها الرسمية بكتابتها، وليس عن طريق رابط من موقع آخر.
استخدام الإضافات التي تسمح بالتحكم بكل من الجافا سكريبت (Java Script) وملفات جمع البيانات (Cookies).
عدم تنزيل أو تثبيت أي برامج من المواقع الغير رسمية للمنتجات.
استخدام متصفحين أحدهما للتعاملات اليومية والآخر للتعاملات الحرجة والهامة.
المحافظة على التحديثات التي تزودها المواقع الرسمية للمتصفحات، وكذلك المحافظة على تحديث نظام التشغيل ككل.


ادارة سكيورتي العرب
05-18-2011 05:40 PM
إقتباس هذه الرسالة في الرد
إضافة رد 






سوق العرب | معهد سكيورتى العرب | وظائف خالية © 2024.
Google