مخاطر الكوكيز Cookies Threats

الملف الشخصي · 05-18-2011 01:51 AM

مخاطر الكوكيز Cookies Threats

السلام عليكم ورحمة الله وبركاته :

مخاطر الكويكز Cookies Threats

نظرة عامّة:

تعتبر الكوكيز من تطبيقات الشبكة العنكبوتيّة المهمّة في الوقت الحالي فهي تسمح لصفحات الويب التعرّف على المستخدم بسهولة وتستخدم بشكل كبير في تطبيقات التجارة الإلكترونية (e-commerce) والتي أصبحت من أهمّ أنواع التجارة وأكثرها إنتشاراُ.
يتمّ تبادل ملفّات الكوكيز بين متصفّح الويب (web browser) وخادم صفحة الويب (web server) عن طريق بروتوكول نقل النصّ التشعبي (HTTP-Hypertext Transfer Protocol). متصفّح الويب (web browser) هو عبارة عن برنامج أو تطبيق يسمح للمستخدم باستعراض المعلومات والتنقّل بين صفحات الويب في الشبكة العنكبوتيّة. أمّا خادم صفحة الويب (web server) فهو عبارة برنامج يعمل على جهاز الكمبيوتر و يقوم بتخزين صفحات الويب وجعلها متوفّرة للمستخدم عند دخوله للشبكة العنكبوتيّة. بروتوكول نقل النصّ التشعّبي (HTTP) هو وسيلة لمشاركة و تبادل المعلومات والمصادر في الشبكة العنكبوتيّة عن طريق عملية الطلب والاستجابة (Request-Response) حيث يقوم المتصفّح بإرسال طلب (request) إلى خادم الويب لاستعراض صفحات الويب ويستجيب الخادم (response)بعرض الصفحات أو إرسال المعلومات التي قام المستخدم بطلبها(شكل1), وبهذه الطريقة يتمّ تبادل ملفّات الكوكيز وتخزينها على القرص الصلب لجهاز المستخدم.

[صورة مرفقة: Process_the_request_and_response_using_t...otocol.jpg]

[صورة مرفقة: Process_the_request_and_response_using_t...otocol.jpg]

(HTTP)شكل1: عملية الطلب والإستجابة بإستخدام بروتوكول نقل النصّ التشعبي

في السابق كانت ملفات الكوكيز تخزّن على جهاز المستخدم بدون موافقته ودرايته. ولكن في عصر ثورة المعلومات أصبح المستخدم أكثر إطلاعاً بما يدور حوله من الأمور التقنيّة, وأصبح له خيار السماح لصفحة الويب بتخزين ملفات الكوكيز على جهازه.
تستخدم الكوكيز بشكل رئيسي في التعرّف على هوّية المستخدم لغرض توفير الوقت عند قيام المستخدم بزيارة صفحة الويب لاحقاَ, ولكن قد يستخدمها البعض في خرق وانتهاك خصوصية المستخدم واستخدام معلوماته على الشبكة العنكبوتية بدون علمه. في هذه الورقة سنقوم بذكر بعض هذه المخاطر وكيفيّة التقليل من حدوثها. [2], [1]

مقدّمة:

في ظل التطور التقني المتزايد, أصبح الحفاظ على المعلومة في الشبكة العنكبوتيّة من التطفّل والسرقة أمراَ ليس بالسهل. فمستخدم الشبكة العنكبوتيّة يواجه خطورة سرقة معلوماته الشخصيّة واستخدامها لارتكاب الجرائم الإلكترونيّة بدون علمه. لهذا السبب أصبح من الضروري تثقيف المستخدم بهذه المخاطر وتوعيته بأساليب الحماية أو الوسائل التي تقلّل من سرقة المعلومات وانتهاك الخصوصيّة.
في هذه الورقة سنقوم بتسليط الضوء على إحدى الوسائل التي تستخدم بشكل خاطئ في انتهاك خصوصية المستخدم. سنقدّم نبذه بسيطة عن ماهية الكوكيز, محتوياتها, أنواعها, آلية عملها, مخاطرها وكيفيّة الحماية منها.

1. الكوكيز:

هي عبارة عن ملف نصّي وخادم صفحة الويب بتخزينه علىالقرصالصلبلجهازالمستخدمعنطريقالمتصفّحعندزيارةالمستخدملصفحةالويب. يتمّ تبادل ملفات الكوكيز بين الخادم وصفحة الويب عن طريق بروتوكول نقل النص التشعبي (HTTP).تحتوي ملفّات الكوكيزعلىمعلوماتيستفيدمنهاالخادمفيتعريفوتحديدهوّيةالمستخدمعندزيارتةلصفحةالويبمرةأخرى.ملفات الكوكيز خاصة بصفحة الويب التي قامت بتخزينها على القرص الصلب, بمعنى أنّه يتمّ قراءة واسترجاع المعلومات المخزّنة في ملفّات الكوكيز فقط من قِبل صفحة الويب التي قامت بتخزينها ولا يمكن لصفحات الويب الأخرى الإطلاع على محتويات هذه الملفات. [3]

2. محتويات الكوكيز:

تختلف محتويات الكوكيز تبعاً لصفحة الويب التي قامت بتخزينها, ولكن هناك محتويات أساسيّة يجب أن تكون متواجدة في أيّ ملف كوكيز مخزّن على جهاز المستخدم(شكل2). هذه المحتويات تشمل:
2.1. اسم الملف.
2.2. مُحتوى الملف.
2.3. عنوان صفحة الويب التي قامت بتخزين الملف.
2.4. امتداد الملف.
2.5. نوع اتصال الإنترنت.
2.6. تاريخ انتهاء مفعول الملف. [4]

[صورة مرفقة: The_contents_of_cookies.jpg]

[صورة مرفقة: The_contents_of_cookies.jpg]

شكل2: محتويات الكوكيز

3. أنواع الكوكيز:
3.1. ملفّات الكوكيز المؤقّتة (Session cookies):

هي ملفات يتمّ تخزينها بشكل مؤقت في ذاكرة جهاز المستخدم أثناء زيارته لصفحة الويب ويتمّ التخلّص منها بعد إغلاق المتصفّح مباشرة. الغرض منها هو التعرّف على المستخدم أثناء انتقاله من صفحه إلى أُخرى.

3.2. ملفّات الكوكيز الدائمة (Persistent cookies):

هذه الملفّات تبقى مُخزّنة بشكل دائم حتّى بعد إغلاق المستخدم للمتصفح ولا يتمّ التخلّص منها إلاّ بإزالتها يدوّياً أو عند انتهاء وقت مفعولها.يستخدم هذا النوع لحفظ تفضيلات المستخدم (طريقة عرض الصفحة, الألوان, اللغة وغيرها) لتطبيقها عند زيارته لصفحة الويب لاحقاً. [5] , [6]

4. آلية عملها:

عند زيارة المستخدم لصفحة الويب لأوّل مرّة, يقوم الخادم بإرسال ملف نصيّ إلى المتصفّح عن طريق بروتوكول نقل النصّ التشعبي (HTTP), ومن ثمّ يقوم المتصفّح بتخزين هذا الملف على القرص الصلب لجهاز المستخدم. عندما يزور المستخدم صفحة الويب مرّة أخرى يقوم الخادم بإرسال طلب إلى المتصفّح بواسطة بروتوكول (HTTP) لقراءة واسترجاع معلومات المستخدم للتعرّف علية.يتمّ تشفير محتويات ملف الكوكيز أثناء عملية نقلها بين المتصفّح والخادم للحفاظ عليها من التطفّل والسرقة. المعلومات المخزنة في ملفّات الكوكيز هي معلومات سبق وأن قام المستخدم باستعمالها في صفحة الويب, لأن الكوكيز لا تستطيع معرفة وتخزين معلومات لم يسبق للمستخدم استعمالها في صفحات الويب.[5]

5. استخدامات الكوكيز:

5.1. من أهمّ استخدامات الكوكيز هي التعرّف على المستخدم وتسهيل عملية دخوله لصفحة الويب. فإذا كان الأمر يتطلب إدخال اسم المستخدم وكلمة المرور للدخول إلى صفحة الويب, فبإمكان المستخدم توفير الوقت و الدخول مباشرة عن طريق السماح لصفحة الويب بتخزين ملفات الكوكيز على القرص الصلب واسترجاعها عند دخوله مرة أخرى ليتمّ التعرّف علية مباشرة دون الحاجة لإدخال اسم المستخدم وكلمة المرور.
5.2. تُمّكن المستخدم من اختيار تفصيلاته, فبعض صفحات الويب تسمح للمستخدم اختيار لغة و طريقة عرض صفحة الويب المناسبة له, ومن ثمّ حفظها وإعادة تطبيقها عند دخوله لاحقاً مُحققّة بذلك ما يسمّى بـالتخصيص (personalization).
5.3. تُستخدم تقنية الكوكيز في مواقع التجارة الإلكترونيّة عن طريق حفظ تفضيلات ومشتريات المستخدم على المدى البعيد و من ثمّ اقتراح وعرض الصفحات المُلائمة لتفضيلاتة.
5.4. تستخدم المواقع الإعلانيّة والتسويقيّة تقنية الكوكيز لجمع معلومات عن المستخدم ومراقبة تصرّفاته في الشبكة العنكبوتيّة بهدف عرض الإعلانات المناسبة لرغباته بناءً على تلك المعلومات.[3] ,[2]

6. مخاطر الكوكيز:

قد يستخدم البعض ملفات الكوكيز بطريقة خاطئة قد تؤدّي إلى خرق الخصوصيّة وتسبب مخاطر لمستخدم الشبكة العنكبوتيّة. سنستعرض هنا بعض هذه المخاطر:

6.1. خطف الكوكيز (Cookie hijacking):

في هذه الحالة يقوم المتطفّل باعتراض وسرقة محتويات ملف الكوكيز أثناء انتقاله بين المتصفّح و خادم الويب(شكل3) عن طريق تقنية شمّ الحزمة (packet sniffing). تزداد خطورة هذه العملّية عندما تكون محتويات ملف الكوكيز غير مشفّره. يمكن التقليل من احتمال حدوث هذه المشكلة عن طريق تشفير محتويات ملف الكوكيز ونقلها في قنوات ذات حماية عالية.[2]

[صورة مرفقة: Kidnapping_Cookies.jpg]

شكل3:خطف الكوكيز

6.2. التلاعب بمحتويات الكوكيز (Cookie poisoning):

ذكرنا سابقاً أنّه لا يتمّ قراءة وتعديل محتويات ملف الكوكيز إلاّ من قبل صفحة الويب التي قامت بتخزين الملف. ولكن في هذه العملية يواجه كل من المستخدم وصفحة الويب خطر تغيير محتويات الملف من قبل طرف خارجي. يقوم المتطفّل بتغيير محتويات الملف قبل إرساله إلى خادم الويب(شكل4). تعتبر هذه العملية خطرة جدّاً بالنسبة لمواقع التجارة الإلكترونيّة, حيث يتمّ تغيير بيانات وسعر الشراء قبل وصولها إلى الخادم مما قد يتسبب بخسائر مادّية كبيرة لهذه المواقع. و تكمن خطورة العملية بالنسبة للمستخدم في عمليّة انتحال الشخصيّة وسرقة الهوّية, حيث يصبح المتطفّل قادراً على تغيير محتوى الملف وإعادة إرساله مرة أخرى للخادم باستخدام بيانات شخص آخر.
من الحلول الممكنة لهذه المشكلة هي تخزين رقم مميز لجلسة المستخدم (user session identifier) في ملف الكوكيز وتخزين بقيّة المعلومات على خادم الويب, بهذه الطريقة يصبح المتطفّل غير قادر على الوصول إلى معلومات الكوكيز.[2]

[صورة مرفقة: Manipulate_the_contents_of_cookies.jpg]

[صورة مرفقة: Manipulate_the_contents_of_cookies.jpg]

شكل4:التلاعب بمحتويات الكوكيز

6.3. سرقة الكوكيز (Cookie theft):

في عملية سرقة ملفات الكوكيز, يقوم المتطفّل بخداع المتصفّح ليرسل له الملف مباشرة بدلاً من الخادم(شكل5), وعلى الرغم من أنّ هذه العملية مشابهه لعملية اختطاف الكوكيز إلاّ أنّهُ لا يمكن تفاديها بواسطة تشفير محتويات الملف.[2]

[صورة مرفقة: Stealing_cookies.jpg]

شكل5: سرقة الكوكيز

6.4. مشاركة الكوكيز بين المواقع (Cross-site cooking):

من المعروف أنّه لكل موقع ملف كوكيز خاصّ به, ولكن بسبب وجود ثغرات أمنيّه في بعض متصفحات الويب تمكنّت بعض المواقع من الإطلاع على ملفات الكوكيز الموجودة على جهاز المستخدم لمواقع أخرى والتعديل عليها.[2]

6.5. التعقّب والتجسّس(Tracking&Spying):

قد تستخدم الكوكيز لغرض التجسس على المستخدم, وتعقّب جميع تحرّكاته ومراقبة تصرّفاته في الشبكة العنكبوتيّة. هذا الأمر يعتبر انتهاكا لخصوصيّة و حريّة المستخدم. [2], [1]

6.6. نقل الكوكيز بدون تشفير (Transferring Cookies as Plain-text):

ذكرنا سابقاً أنه يتمّ تبادل ملفات الكوكيز بين المتصفّح و خادم الويب عن طريق بروتوكول نقل النص التشعبي (HTTP). يقوم هذا البرتوكول بنقل المعلومات بدون تشفير, ممّا يزيد من احتمالية الإطلاع عليها من قبل طرف خارجي.
يمكن التقليل من احتمالية حدوث هذا الأمر عن طريق تشفير محتويات الملف أو استخداما المتغيّر (secure) عند إنشاء ملف الكوكيز.[6]

6.7. التقاط الكوكيز (Cookie Catching):

عند استعراض المستخدم لصفحات الويب, يتمّ تخزين الصفحات والصور وغيرها في ذاكرة مؤقتة تدعى (caching proxy server) وذلك لاسترجاعها مباشرة من الذاكرة بدون الحاجة إلى إرسال طلب إلى خادم الويب عند زيارة المستخدم لهذه الصفحات لاحقاً مما يعمل على تخفيف الضغط على خادم الويب بالإضافة إلى توفير الوقت بالنسبة للمستخدم. هذه العملية قد تشكّل خطورة للمستخدم, إذ أنه يمكن إلتقاط وتخزين الكوكيز في الذاكرة المؤقتة أثناء انتقالها,وهذا الأمر يجعها أكثر عرضه للسرقة.[6]

7. طرق للتقليل من مخاطر الكوكيز:

لا يمكن استبعاد مخاطر الكوكيز تماماً, ولكن يمكن التقليل من احتمال حدوثها بإتباع الوسائل التالية :
7.1. عدم السماح للمواقع بتخزين ملفات الكوكيز, أو اختيار المواقع التي يرغب المستخدم بالسماح لها بتخزين الكوكيز وحجب ماعداها.لتحقيق ذلك, يمكن للمستخدم إتباع الخطوات التالية:

7.1.1. متصفّح فايرفوكس (Firefox):

1- الذهاب إلى الأدوات (tools) من القائمة الرئيسيّة.
2- الضغط على الخيارات (options).
3- اختيار الخصوصيّة (privacy).
4- اختيارuse custom settings for history)).
5- إلغاء تحديد قبول ملفات الكوكيز من صفحات الويب (accept cookies from sites).

[صورة مرفقة: Reject_or_accept_cookies.jpg]

[صورة مرفقة: Reject_or_accept_cookies.jpg]

6- اختيار الاستثناءات (exceptions)لتحديد المواقع المرغوبة أو حجب ماعداها.
7- ستظهر نافذة تطلب من المستخدم إدخال عنوان صفحة الويب وتحديد ما إذا يريد المستخدم حجبها أو السماح لها بتخزين الملفات على جهازه.[7]

[صورة مرفقة: GPS_allowed_to_store_cookies_and_block_e...g_else.jpg]

[صورة مرفقة: GPS_allowed_to_store_cookies_and_block_e...g_else.jpg]

7.1.2. متصفّح إنترنت إكسبلورر (internet explorer):

1- الذهاب إلى الأدوات (tools)من القائمة الرئيسية.
2- اختيار خيارات الإنترنت (internet options).
3- الذهاب إلى الخصوصيّة (privacy).
4- اختيار الخيارات المتقدمة (advanced).
5- اختيار حجب ملفات الكوكيز (block). [8]

[صورة مرفقة: Block_cookies_in_Internet_Explorer.jpg]

[صورة مرفقة: Block_cookies_in_Internet_Explorer.jpg]

7.2. التخلّص من ملفّات الكوكيز وإزالتها
يدوّياُ من المتصفّح والقرص الصلب بشكل دوري.يمكن مسح هذه الملفات بإتباع الخطوات التالية:

7.2.1. متصفّح فايرفوكس (Firefox):

1- الذهاب إلى الأدوات (tools) من القائمة الرئيسيّة.
2- الضغط على الخيارات (options).
3- اختيار الخصوصيّة (privacy).
4- اختيار عرض جميع ملفات الكوكيز (show cookies).
5- اختيار إزالة جميع ملفات الكوكيز (remove all cookies) أو حذف ملف معين عن طريق تحديده أولاً ومن ثم اختيار إزالة ملف الكوكيز (remove cookie).[7]

[صورة مرفقة: Delete_cookies_in_Firefox_Browser.jpg]

[صورة مرفقة: Delete_cookies_in_Firefox_Browser.jpg]

7.2.2. متصفّح إنترنت إكسبلورر (Internet explorer):

1- الذهاب إلى الأدوات (tools)من القائمة الرئيسية.
2- اختيار خيارات الإنترنت (internet options).
3- الذهاب إلى الخيارات العامة (general).
4- اختيار حذف (delete) تحت جزء (browsing history).
5- اختيار حذف ملفات الكوكيز (delete cookies) لحذف جميع الملفات. [8]

[صورة مرفقة: Delete_cookies_in_Internet_Explorer_Browser.jpg]

[صورة مرفقة: Delete_cookies_in_Internet_Explorer_Browser.jpg]

الخُلاصة:

يتضّح لنا ممّا سبق أهمّية تقنية الكوكيز فقد ساهمت بشكل كبير في جعل بعض التقنيات مثل التجارة الإلكترونية أكثر سهولة, كما أنّ لها دور كبير بتسهيل عملية تصفّح المستخدم للشبكة العنكبوتيّة وتوفير الوقت بالتعرّف على هويته مباشرة وحفظ تفصيلاته لتطبيقها لاحقاً. على الرغم من ذلك, فهي قد تعرّض المستخدم لخطر سرقة الهوية و انتهاك الخصوصية. لذلك على المستخدم أن يكون أكثر حذراً عند تعامله مع صفحات الويب, وعدم استخدام معلومات شخصيّة مهمة و حساسة في الشبكة العنكبوتية.

منقول

ادارة سكيورتي العرب

المواضيع المحتمل أن تكون متشابهة .
حماية معلومات الأجهزة الحكومية والأهلية من مخاطر الهندسة الاجتماعية
مخاطر الكويكز cookies 2