س 1 : أستخدم متصفح نتسكيب لتصفح المواقع في الإنترنت ولكن أخبرني أحد الزملاء أنه سمع عن مشكلة أمنية في المتصفح فهل هذا صحيح وما هي ؟
ج 1 : بالفعل فقد تم مؤخرا اكتشاف ثغرة أمنية في متصفح نتسكيب في جميع الإصدارات حتى الإصدارة الحالية 4.74 تمكن أصحاب المواقع من تحويل جهاز المستخدم المتصفح لموقعهم إلى خادم ملفات بحيث يتمكنون من سحب أي ملفات يريدونها من جهازه فيعمل المستضيف وكأنه تروجان! ويتم عمل ذلك بواسطة تضمين بريمج جافا Java Applet في داخل الصفحة بحيث تعمل في داخل جهاز المستخدم وتقوم بتحويله إلى خادم ملفات. ولقد تم إطلاق اسم Brown Orifice على هذه الـ Applet. ولا شك بأن هذه الثغرة الأمنية لا تقل خطورة عن أي حصان طروادة في جهاز المستخدم مثل Back Orifice أو subseven أو غيرها وذلك لأن المخترق (وهو صاحب الموقع في هذه الحالة) سيتمكن من سحب أي ملف يريده من جهاز المستخدم !
كما أن المشكلة لا تنحصر فقط في المتصفح ! بل تمتد لتشمل برنامج البريد الذي طورته نتسكيب ! بحيث يمكن تشغيل بريمج الجافا من خلال أي رسالة تتم قراءتها بواسطة برنامج نتسكيب للبريد.
إن هذه الثغرة التي لم تحل بعد وتلك التي حدثت مع برنامج أوتلوك في الأسابيع الماضية لتزيد من أهمية بناء برامج الحماية المبنية على فحص المحتوى لبريمجات الوب التي يتم تناقلها حيث أن برامج جدر الحـماية ومقاومات الفيروسات لا يمكن أن تكتشف مثل هذه الثغرات.
س 2 : تحدثتم في حلقة سابقة عن الوثائق التي يتم إصدارها للأشخاص، ولكن بعضهم أخبرني أن هناك وثائق أيضا يتم إصدارها للأجهزة، فهل هذا صحيح ؟
ج 2 : يجب التفريق بين نوعين مختلفين من الوثائقCertificates ، وهما الوثائق التي يتم إصدارها للأشخاص والوثائق التي يتم إصدارها للمزودات (أو الأجهزة). فالنوع الأول وهو ما يسمى بالوثائق الشخصية (personal Certificates) هي وثائق يتم إصدارها للأشخاص تحتوي على معلومات عن الشخص الذي يمتلكها ويتم الاستفادة منها بأشكال عديدة، مثل التأكد من شخصية المستخدمين (Authentication) أو التحكم في دخول المستخدمين على الموارد المختلفة (Authorization) كما أن لها استخدامات عديدة في مجال التجارة الإلكترونية مثل استخدامها في البنوك والمتاجر المختلفة. كما أنه يوجد نوع آخر من الوثائق يتم إصدارها للمزودات الموجودة في الإنترنت أو ما يسمى بـ Server Certificate وهي وثائق يتم استخدامها بشكل رئيسي لتمكين المستخدم من معرفة هوية المزود الذي يتعامل معه، كما أن لها استخدامات أخرى مثل تشفير المعلومات أثناء انتقالها بين المستخدم والمزود بحيث يتم ضمان خصوصيتها وعدم حدوث أي تغيير فيها.
س 3 : هل يوجد من طريقة لمعرفة الصفحة التي استخدمها الزائر للدخول لموقعي، أو بمعني أصح الصفحة التي وضعت رابطة Link على موقعي ؟
ج 3 : بغض النظر عن الطريقة التي ستستخدمها للبرمجة سواء كانت باستخدام CGI أو ASP أو غيرها من طرق البرمجة على الويب فإنه يمكنك استخدام أحد المتغيرات الموجودة في الطلب الذي يرسله المتصفح Browser، وهذا المتغير هو HTTP_REFERER كما أنه يمكنك أيضا الحصول على معلومات أخرى مثل رقم IP الخاص بالزائر واللغة المستخدمة في متصفحه وغيرها من المعلومات الأخرى المضمنة في المتغيHTTP_ALL.