السبت، سبتمبر 17، 2011

الكوكيز

بما أن الكوكيز أصبح جزء لا يتجزأ عن المتصفحات ومن أهم التطبيقات التي يستخدمها كثير من مبرمجي المواقع, فهي ميزة و خدمة من خدمات بروتوكول HTTPالتي عن طريقها يستطيع مبرمجي المواقع تتبع المستخدم برصد معلومات عنه, وهي ملفات نصية على جهاز المستخدم تحوي معلومات عن المستخدم وتُقرأ عن طريق المتصفح, والكوكيز نوعان: كوكيز مؤقتة لمدة معينة ثم تحذف أو كوكيز دائمة يستخدمها الموقع في كل مره يدخل المستخدم على الموقع للتعرف عليه أكثر, فأحببتُ في هذا المقال أن أسلط الضوء على الجانب الآخر لهذه الخدمة وكيف أنه من الممكن أن تخرق سريتك وخصوصية بياناتك عبر الانترنت من دون علمك, كما أنه من الممكن من ملف واحد معرفة أعمق المعلومات وأشدها حساسية, فلك أن تتخيل لو سُرِق ملف يحتوي على رقم بطاقة التسوق الالكترونية. كما أن البعض يتجسس عليك بزرع مثل هذه الملفات التي تُسجِل ما تفعله على متصفحك كشخص يطاردك بكاميرا خفية لتسجيل مقطع فيديو عنك دون علمك, كما أن بعض المهاجمين(Attackers) استغل ثغرة الكوكيز التي تُعاني منها المتصفحات مايُسمى بِ(Cross-site cooking) ليستطيع قراءة ملفات كوكيز لم يقم بإنشائها, كما دوّنتُ بعض الاقتراحات والطرق التي تساعد المستخدم لتفادي مثل هذه المخاطر إما بحذف ومنع كل ملفات الكوكيز على جهازه فلا يستطيع أي موقع أخذ معلومات عنه ولكنه ربما لن يستطيع دخول بعض المواقع التي تتطلب وجود الكوكيزأو تصفية المواقع التي يُمكنها حفظ الكوكيز على جهازك.
عندما تتصل بالإنترنت تدخل على المتصفح وتضع رابط معين يقوم المتصفح بطلب ملف الكوكيز التابع للموقع من جهازك ليتعرف عليك الموقع هل قمت بزيارته مسبقاً أم لا.
ما هي الكوكيز(Cookies)؟
بدايةً نحتاج إلى تعريف ماهية الكوكيز: هي ملفات نصية يُنشِئها المُتصفح من طلب بعض المواقع لهذه الملفات تحت استخدام بروتوكول اتش تي تي بي (http: HyperText Transfer Protocol) وتحتوي معلومات مشفّرة خاصة بالمستخدم تحفَظ على جهاز المستخدم وليس على الخادمweb server
ما هو بروتوكولhttp ولماذا يُستخدم في الكوكيز؟
تعريف مُبسط ل http: هو البروتوكول الحالي لربط المواقع بالمستخدمين ونقل البيانات والمعلومات والصور والملفات, و يُستخدم في الكوكيز لإمكانية تتبّع المستخدم فيه.
مثال كوكيز تعريف الهوية (identification):
الكوكيز الأكثر شيوعاً ويُستخدم كثيراً في المنتديات لحفظ معلومات تسجيل دخولك على المنتدى(هويتك), لو فرضنا أن محمد لديه عضوية في منتدى (س) فتلقائياً بمُجرد فتح صفحة المنتدى (س) من جهاز محمد سنجد أن المنتدى(س) تعرف على محمد وأظهر رسالة الترحيب (مرحبا بعودتك محمد), ولم يَطلِب اسم المستخدم ولا كلمة المرور ولكن بشرط أن صفحة المنتدى (س) تمّ زيارتها مسبقاً بعضوية محمد وإدخال اسم المستخدم و كلمة المرور الخاصة بمحمد.
ما فائدة الكوكيز؟
يعتبر سؤال المستخدم عن اسمه وكلمة المرور في كل مره يدخل فيها على الموقع طريقة مملة , وربما كَرِه المستخدم دخول الموقع لوجوب إدخال نفس البيانات في كل مره.
الكوكيز خاصية سهلت عملية التعرف على المستخدم أيضاً التعرف على العمليات التي أجراها في كل صفحات الموقع فمثلا: لو فرضنا أن محمد دخل على موقع تجاري يعرض بعض السلع واختار سلعة (س) في صفحة معينة فلو انتقل محمد إلى صفحة أخرى فستبقى سلعة (س) مضافة إلى قائمة المشتريات لأن كل المعلومات تمّ حفظها في الكوكيز أضف إلى ذلك أن الكوكيز يحفظ ما تمّ تعديله على تنسيق الصفحة نفسها فلو غيرت ألوان الصفحة بما يناسب ذوقك ستبقى التعديلات في كل مره تدخل الصفحة[2].
بمجرد دخول المستخدم على الموقع يتم البحث في المتصفح عن ملفات الكوكيز الخاصة بالموقع نفسه، الكوكيز قللت العبء على المستخدم من إدخال اسم المستخدم وكلمة المرور في كل مرة, كما مكّنت من حفظ معلومات أخرى عن المستخدم مثل: نوع الجهاز, نوع نظام التشغيل, ..الخ .
ما هي مخاطر الكوكيز؟
الكوكيز ملفات نصية لا تحوي أي كود فكيف لها أن تضر! , حقيقةً تلك الملفات لا تضر بالجهاز نفسه ولكن في الجهة المقابلة لفائدة الكوكيز هناك العديد من المخاطر والتهديدات التي من الممكن أن تتضمنها أو تتعرض لها تلك الملفات التي قد تؤدي إلى خرق سريّة بيانات المستخدم. وهنا سنقوم بسرد تلك المخاطر التي أُثيرت حول الكوكيز:
1- ملفات الكوكيز للتجسس ((Spy Cookies:
بما أن الكوكيز تحفظ معلومات قيّمه ذات حساسية مثل:نوع الجهاز, رقمIP )رقم يُسند لجهازك لتميزه عن باقي الأجهزة الأخرى لدى اتصالك بشبكة الانترنت), أكثر المواقع زيارة, و ربما وصل الأمر إلى تتبع أرقامك السرية, ورقم بطاقتك الائتمانية وما تدخله على لوحة المفاتيح التي تخرق تماما ً خصوصية المستخدم دون علمه. ولذلك استغل البعض تلك النقطة فبمجرد زيارتك لموقع معين يتم إنشاء ملفات كوكيز على جهازك يتجسسون من خلالها على جهازك, فلك أن تتخيل مدى خطورة تلك الملفات حين تُستخدم في هذه الطريقة.
الاقتراحات: المنع التام لحفظ ملفات الكوكيز وحذفها , لكنك ستضطر لتعريف نفسك في كل مره.
خطوات المنع التام لحفظ ملفات الكوكيز وقراءتها بالنسبة للمتصفح انترنت اكسبلورر (Internet Explorer) :
من لوحة التحكم(Control Panel) << انترنت وشبكات (Network and Internet) >> اذهب إلى خيارات الانترنت(Internet options) << من تبويب الخصوصية(Privacy) << قم بتحريك زر التحكم بالخصوصية للأعلى إلى أن تصل الحد الأقصى الذي يمنع كل ملفات الكوكيز أن تُحفظ على جهازك(Block all cookies) << بعد ذلك اضغط على موافق.
يمكنك الدخول على خيارات الانترنت(Internet Options) من نفس المتصفح من القائمة(Tools) << خيارات الانترنت(Internet Options) .
ملاحظة: تحت هذا الخيار حتى لو كانت لديك ملفات كوكيز محفوظة مسبقاً لن يستطيع المتصفح قراءتها.
الكوكيز وقراءتها في الانترنت اكسبلورر
خطوات حذف ملفات الكوكيز:
بدايةً لو أردنا فقط الدخول على مجلد الكوكيز سنتبع الخطوات التالية:
اذهب إلى أبدأ(Start) >> تشغيل(Run) >> اكتب Cookies >> اختر موافق, مباشرة ستدخل على مجلد الكوكيز.
حذف ملفات الكوكيز من المتصفح:
أ‌- خطوات حذف ملفات الكوكيز من المتصفح انترنت اكسبلورر(Internet Explorer) :
بعد فتح متصفح انترنت اكسبلورر(Internet Explorer) >> من القائمة اختر أدوات (Tolls)>> اختر خيارات الانترنت (Internet options) >> اختر تبويب عام(General) >> اختر حذف (Deletes) >> اختر موافق >> بعد ذلك ستفتح نافذة جديدة منها اختر حذف الكوكيز(Delete Cookies) >> ستظهر رسالة تأكيدية اختر نعم.
الكوكيز في الفايرفكس
ملاحظة: يمكنك حذف كل ملفات الكوكيز وملفات حفظ كلمات المرور و أيضاً ملفات التاريخ(History) وهي ملفات تتّبع كل المواقع التي قمت بزيارتها خلال الأيام الفائتة.
أما إذا كُنتَ من مستخدمي متصفح الفايرفُكس (Fire Fox) فيجب عليك إتباع الخطوات الآتية:
ب‌- خطوات حذف ملفات الكوكيز من المتصفح الفايرفُكس (Fire Fox):
بعد فتح فايرفكس(Fire Fox) >>من القائمة اختر أدوات (Tools) >> اختر خيارات(Options) >> اختر تبويب الخصوصية (Privacy) >> اختر حذف ملفات الكوكيز(Remove individual cookies) >> اختر موافق << ستظهر نافذة أخرى تُبيّن كل ملفات الكوكيز التي حفظها الفايرفكس ويمكنك حذف ما تشاء من الملفات بواسطة خيار(Remove Cookie) أو حذفها كلها عن طريق خيار (Remove all Cookies) .
2- سهولة التعديل على ملفات الكوكيز:أيضاً من مخاطر الكوكيز سهولة الحصول عليها والتعديل عليها, حيث يتم حفظها على القرص الصلب لجهاز المستخدم وعلى هيئة ملف نصي txt مما يتيح فرصة التعديل عليها من قبل أي مستخدم للجهاز سواء كان بقصد التجسس أو من قبل المستخدم نفسه عدّل عليها عن طريق الخطأ من غير قصد. إمكانية فتح ملفات الكوكيز وسرقة الأرقام السرية ذلك يعني إمكانية انتحال هويتك لدى تلك المواقع والأخطر من ذلك سرقة رقم بطاقتك الائتمانية.
3- إمكانية قراءة الكوكيز من قبل مواقع أخرى ( (Cross-site cooking:
كمعلومة عامة لا يُفترض لأي موقع قراءة أي كوكيز لموقع آخر.ولكن أحد الثغرات الموجودة بالمتصفحات فتحت مجالاً لخرق ذلك ما يُسمى ب Cross-site cooking وذلك يسمح للمواقع إمكانية قراءة وتعديل ملفات كوكيز تابعة لمواقع أخرى, مثال ذلك: لو كان الموقع www.parent.org لديه كوكيز محفوظة على جهازك ودخلت موقعwww.child.org فسيبحث المتصفح عن ملفات باسم child-org إذا لم يجدها بإمكانه الحصول على الكوكيز التابع ل parent-org 1.
ولذلك نجد أن المعلومات السرية يتم تشفيرها في ملفات الكوكيز ولكن لا تعطينا تلك الطريقة حلاً نهائياً لأنه حتى التشفير يمكن فكه. فنرى أن بعض المتجسسين استغلوا هذه النقطة السلبية فقاموا بإنشاء مواقع مشبوهة تقرأ ملفات
الكوكيز الخاصة بالمستخدم. وأيضاً تستخدم هذه النقطة بعض شركات الدعاية والإعلان ليحصلوا على معلومات خاصة بالمستخدم وذلك خرق لخصوصية المستخدم دون علمه. ولو فرضنا أن مهاجماً(Attacker) استطاع الوصول إلى جهازك وعدّل على الكوكيز لتصبح صفحته www.attacker.com هي الصفحة الرئيسية لمتصفحك فيستطيع قراءة ملفات الكوكيز في جهازك والحصول على معلومات كنوع الجهاز ورقم الجهاز(IP) .
الاقتراحات: تصفية المواقع التي يمكنها حفظ ملفات الكوكيز على جهازك من خلال خيارات الانترنت على المتصفح.
خطوات تصفية المواقع التي يُمكنها حفظ ملفات الكوكيز المتصفح انترنت اكسبلورر (Internet Explorer):
من لوحة التحكم(Control Panel) << انترنت وشبكات (Network and Internet) >> اذهب إلى خيارات الانترنت << (Internet options) من تبويب الخصوصية (Privacy) << اختر المواقع (Sites) << امنع المواقع المشبوهة من خيار منع(Block) بحيث تمنعها من حفظ ملفات الكوكيز<< بعد ذلك اضغط على موافق.