مخاطر الكوكيز Cookies ؟
بما أن الكوكيز أصبح جزء لا يتجزأ عن المتصفحات ومن أهم التطبيقات التي يستخدمها كثير من مبرمجي المواقع, فهي ميزة و خدمة من خدمات بروتوكول HTTPالتي عن طريقها يستطيع مبرمجي المواقع تتبع المستخدم برصد معلومات عنه, وهي ملفات نصية على جهاز المستخدم تحوي معلومات عن المستخدم وتُقرأ عن طريق المتصفح, والكوكيز نوعان: كوكيز مؤقتة لمدة معينة ثم تحذف أو كوكيز دائمة يستخدمها الموقع في كل مره يدخل المستخدم على الموقع للتعرف عليه أكثر, فأحببتُ في هذا المقال أن أسلط الضوء على الجانب الآخر لهذه الخدمة وكيف أنه من الممكن أن تخرق سريتك وخصوصية بياناتك عبر الانترنت من دون علمك, كما أنه من الممكن من ملف واحد معرفة أعمق المعلومات وأشدها حساسية, فلك أن تتخيل لو سُرِق ملف يحتوي على رقم بطاقة التسوق الالكترونية. كما أن البعض يتجسس عليك بزرع مثل هذه الملفات التي تُسجِل ما تفعله على
ما هي الكوكيز Cookies ؟
بدايةً نحتاج إلى تعريف ماهية الكوكيز: هي ملفات نصية يُنشِئها المُتصفح من طلب بعض المواقع لهذه الملفات تحت استخدام بروتوكول اتش تي تي بي (http: HyperText Transfer Protocol) وتحتوي معلومات مشفّرة خاصة بالمستخدم تُحفَظ على جهاز المستخدم . للإطلاع عليها أذهب الى Démarrer أو Start ثم الى Executer أو Run و أكتب الأمر Cookies.
مثال كوكيز تعريف الهوية (identification):
الكوكيز الأكثر شيوعاً ويُستخدم كثيراً في المنتديات و المواقع الإجتماعية لحفظ معلومات تسجيل دخولك عليها, لو فرضنا أن لديك حساب في موقع الفيسبوك فتلقائياً بمُجرد فتح صفحة الموقع من جهازك ستجد أن الموقع تعرف عليك و أدخلك الى حسابك ولم يَطلِب اسم المستخدم ولا كلمة المرور. لهذا لأن في أول مرة زرت فيها الموقع و سجلت إيميلك وكلمة المرور سجلت على جهازك لذا لا تضطر الى كتابتها كل مرة.
الكوكيز الأكثر شيوعاً ويُستخدم كثيراً في المنتديات و المواقع الإجتماعية لحفظ معلومات تسجيل دخولك عليها, لو فرضنا أن لديك حساب في موقع الفيسبوك فتلقائياً بمُجرد فتح صفحة الموقع من جهازك ستجد أن الموقع تعرف عليك و أدخلك الى حسابك ولم يَطلِب اسم المستخدم ولا كلمة المرور. لهذا لأن في أول مرة زرت فيها الموقع و سجلت إيميلك وكلمة المرور سجلت على جهازك لذا لا تضطر الى كتابتها كل مرة.
ما فائدة الكوكيز؟
يعتبر سؤال المستخدم عن اسمه وكلمة المرور في كل مره يدخل فيها على الموقع طريقة مملة , وربما كَرِه المستخدم دخول الموقع لوجوب إدخال نفس البيانات في كل مره.
الكوكيز خاصية سهلت عملية التعرف على المستخدم أيضاً التعرف على العمليات التي أجراها في كل صفحات الموقع فمثلا: لو فرضنا أنك دخلت على موقع تجاري يعرض بعض السلع واختار سلعة (X) في صفحة معينة فلو انتقلت إلى صفحة أخرى فستبقى سلعة (X) مضافة إلى قائمة مشترياتك لأن كل المعلومات تمّ حفظها في الكوكيز أضف إلى ذلك أن الكوكيز يحفظ ما تمّ تعديله على تنسيق الصفحة نفسها فلو غيرت ألوان الصفحة بما يناسب ذوقك ستبقى التعديلات في كل مره تدخل الصفحة.
بمجرد دخول المستخدم على الموقع يتم البحث في المتصفح عن ملفات الكوكيز الخاصة بالموقع نفسه، الكوكيز قللت العبء على المستخدم من إدخال اسم المستخدم وكلمة المرور في كل مرة, كما مكّنت من حفظ معلومات أخرى عن المستخدم مثل: نوع الجهاز, نوع نظام التشغيل, ..الخ .
ما هي مخاطر الكوكيز؟
الكوكيز ملفات نصية لا تحوي أي كود فكيف لها أن تضرّ! , حقيقةً تلك الملفات لا تضرّ بالجهاز نفسه ولكن في الجهة المقابلة لفائدة الكوكيز هناك العديد من المخاطر والتهديدات التي من الممكن أن تتضمنها أو تتعرض لها تلك الملفات التي قد تؤدي إلى خرق سريّة بيانات المستخدم. وهنا سنقوم بسرد تلك المخاطر التي أُثيرت حول الكوكيز:
1- ملفات الكوكيز للتجسس Spy Cookies:
بما أن الكوكيز تحفظ معلومات قيّمه ذات حساسية مثل:نوع الجهاز, عنوان IP , أكثر المواقع زيارة, و ربما وصل الأمر إلى تتبع أرقامك السرية, ورقم بطاقتك الائتمانية وما تدخله على لوحة المفاتيح التي تخرق تماما ً خصوصية المستخدم دون علمه. ولذلك استغل البعض تلك النقطة فبمجرد زيارتك لموقع معين يتم إنشاء ملفات كوكيز على جهازك يتجسسون من خلالها على جهازك, فلك أن تتخيل مدى خطورة تلك الملفات حين تُستخدم في هذه الطريقة.
2- سهولة الحصول و التعديل عليها.
أيضاً من مخاطر الكوكيز سهولة الحصول عليها والتعديل عليها, حيث يتم حفظها على القرص الصلب لجهاز المستخدم وعلى هيئة ملف نصي txt مما يتيح فرصة التعديل عليها من قبل أي مستخدم للجهاز سواء كان بقصد التجسس أو من قبل المستخدم نفسه عدّل عليها عن طريق الخطأ من غير قصد. إمكانية فتح ملفات الكوكيز وسرقة الأرقام السرية ذلك يعني إمكانية انتحال هويتك لدى تلك المواقع والأخطر من ذلك سرقة رقم بطاقتك الائتمانية.
3- إمكانية قراءة الكوكيز من قبل مواقع أخرى ( (Cross-site cooking:
كمعلومة عامة لا يُفترض لأي موقع قراءة أي كوكيز لموقع آخر.
ولكن أحد الثغرات الموجودة بالمتصفحات فتحت مجالاً لخرق ذلك ما يُسمى ب Cross-site cooking وذلك يسمح للمواقع إمكانية قراءة وتعديل ملفات كوكيز تابعة لمواقع أخرى, مثال ذلك: لو كان الموقع www.site1.com لديه كوكيز محفوظة على جهازك ودخلت موقع www.site2.com فسيبحث المتصفح عن ملفات باسم site2-com إذا لم يجدها بإمكانه الحصول على الكوكيز التابع ل site1-com.
ولكن أحد الثغرات الموجودة بالمتصفحات فتحت مجالاً لخرق ذلك ما يُسمى ب Cross-site cooking وذلك يسمح للمواقع إمكانية قراءة وتعديل ملفات كوكيز تابعة لمواقع أخرى, مثال ذلك: لو كان الموقع www.site1.com لديه كوكيز محفوظة على جهازك ودخلت موقع www.site2.com فسيبحث المتصفح عن ملفات باسم site2-com إذا لم يجدها بإمكانه الحصول على الكوكيز التابع ل site1-com.
ولذلك نجد أن المعلومات السرية يتم تشفيرها في ملفات الكوكيز ولكن لا تعطينا تلك الطريقة حلاً نهائياً لأنه حتى التشفير يمكن فكه. فنرى أن بعض المتجسسين استغلوا هذه النقطة السلبية فقاموا بإنشاء مواقع مشبوهة تقرأ ملفات الكوكيز الخاصة بالمستخدم. وأيضاً تستخدم هذه النقطة بعض شركات الدعاية والإعلان ليحصلوا على معلومات خاصة بالمستخدم وذلك خرق لخصوصية المستخدم دون علمه. ولو فرضنا أن مهاجماً (Attacker) استطاع الوصول إلى جهازك وعدّل على الكوكيز لتصبح صفحته www.my-site.com هي الصفحة الرئيسية لمتصفحك فيستطيع قراءة ملفات الكوكيز في جهازك والحصول على معلومات كنوع الجهاز ورقم الجهاز(IP) .