تنزيل
العودة إلى المدونة
الخصوصية··10 دقيقة قراءة

مخاطر شبكات Wi-Fi العامة (حتى مع انتشار HTTPS في كل مكان)

اللغة: EnglishDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

قبل سنوات، كانت النصيحة عند استخدام شبكة مقهى بسيطة وقاتمة: افترض أن أحدهم يقرأ حركة مرورك. ثم أصبح HTTPS هو الافتراضي تقريبًا في كل مكان، وبدأت المتصفحات تصرخ حيال المواقع غير المشفرة، وهدأت مخاوف كثير من الناس بصمت.

هذا الجزء الأخير هو المشكلة. لم تختفِ مخاطر Wi-Fi العامة حين انتصر HTTPS — بل تحوّلت. المتلصص السلبي الذي كان يشمّ كلمة مرور Gmail من الهواء باتت تكلفته مرتفعة إلى حدٍّ كبير. ما تبقّى أكثر إثارة للاهتمام، وأكثر استهدافًا، وأصعب ملاحظةً لأن أيقونة القفل تجعل كل شيء يبدو على ما يرام.

تستعرض هذه المقالة ما أصلحه HTTPS فعلًا، وما لم يُصلحه، وحفنة من العادات التي تغيّر تعرّضك بشكل ملموس على الشبكات التي لا تملكها.

ما الذي حلّه HTTPS فعلًا

الفضل لمن يستحقه. أصلح HTTPS — النسخة المشفرة من بروتوكول الويب — النسخة الأكبر والأسوأ من مشكلة Wi-Fi العامة.

في عام 2014، كان بإمكان شخص على نفس شبكة المطار تشغيل أداة مجانية، ومراقبة متصفحك وهو يحمّل Facebook، والمغادرة بملف تعريف الجلسة الخاص بك. هذا النوع من الهجمات مات إلى حدٍّ بعيد. مزيج HTTPS الافتراضي، وHTSS (علامة تخبر المتصفحات «لا تحمّل هذا الموقع عبر HTTP العادي أبدًا»)، وقواعد ملفات تعريف الارتباط الأكثر صرامة يعني أن الشم السلبي العشوائي للمواقع الرئيسية لا يعود بنتيجة تُذكر.

إن كان نموذج التهديد لديك هو «لا أريد مراهقًا فضوليًا على طاولة مجاورة يقرأ بريدي الإلكتروني»، فـ HTTPS قد أوصلك إلى هناك.

نموذج التهديد الذي يعلو درجة هو ما يصبح أكثر صدقًا.

ما لا يغطيه HTTPS

يشفّر HTTPS محتوى اتصالك بخادم بعينه. لكنه لا يحمي الخطوات التي تسبق إنشاء هذا الاتصال، ولا يحميك من نفسك حين يبدو شيء ما مختلفًا قليلًا. هنا تقبع مخاطر Wi-Fi العامة.

حقن بوابة التحقق (Captive Portal)

صفحة «الموافقة على الشروط» التي تظهر على Wi-Fi الفنادق والمطارات تُسمى بوابة التحقق. لتشغيلها، يجب على الشبكة اعتراض طلب الويب الأول وإعادة توجيهه إلى وجهة تختارها. هذا هجوم «رجل في المنتصف» بحكم التصميم. مُعتمَد، لكنه رجل في المنتصف.

بوابة التحقق المُدارة جيدًا غير مضرة. أما المُدارة بإهمال (أو المعادية عمدًا) فيمكنها تقديم JavaScript لك، أو دفع تحديثات برامج مزيفة، أو تتبّع كل جهاز ينضم بصمت. غالبًا ما يعرض هاتفك البوابة في متصفح مبسَّط بدون شريط العنوان الكامل، مما يجعل معرفة ما تنظر إليه فعلًا أصعب.

اختطاف DNS على محللات ضعيفة

حين تكتب bank.com، يسأل جهازك محلل DNS للشبكة «ما عنوان IP لهذا؟» على شبكة عامة، يُشغّل هذا المحلل من يملك نقطة الوصول.

يمكن لمحلل مُعطَّل أو خبيث أن يكذب. يمكنه إرسالك إلى خادم ليس بنكك، ثم تقديم شهادته الخاصة. ستحذرك المتصفحات الحديثة — لكن فقط إذا كانت الشهادة خاطئة، وفقط إذا قرأت التحذير بدلًا من النقر عليه.

سلخ SSL على المواقع ذات الإعداد الخاطئ

سلخ SSL حيلة قديمة لا تزال تنجح في حالات محدودة. يجلس المهاجم بينك وبين الموقع الذي تحاول الوصول إليه. تكتب example.com (بدون البادئة https://)، تعترضه الشبكة، تجلب صفحة HTTPS الحقيقية بنفسها، وتقدم لك نسخة HTTP عادية.

المواقع التي تستخدم تحميل HSTS المسبق محصّنة. أما التي لا تستخدمه (عادةً الخدمات الأصغر، أو الأدوات الداخلية، أو أي شيء تصل إليه عبر إشارة مرجعية قديمة) فلا. سيعرض شريط العنوان بهدوء http:// بدلًا من أيقونة القفل، ومعظم الناس لا ينظرون.

نقاط الوصول المارقة والتوائم الشريرة

هذه هي التي تستحق الفهم بشكل صحيح، لأنها تتجاوز معظم الدفاعات أعلاه.

هاتفك يتذكر الشبكات. حين يرى إشارة (حزمة بث صغيرة تُعلن عن اسم Wi-Fi) تطابق شبكة انضم إليها من قبل، يمكنه الاتصال تلقائيًا. مهاجم بأجهزة متاحة في السوق يمكنه بث إشارات تدّعي كونها Starbucks WiFi أو Hotel Guest، وإرسال إطار إلغاء مصادقة لإبعاد هاتفك عن الشبكة الشرعية، ومشاهدة جهازك ينتقل إلى شبكته دون أن تلمس شيئًا.

من هناك، المهاجم هو الشبكة. يتحكم في DNS. يشغّل بوابة التحقق. يرى أي التطبيقات على جهازك تحاول الوصول إلى أي خوادم، حتى لو كانت المحتويات مشفرة. يمكنه تقديم صفحات بوابة التحقق الخاصة به، ومحاولة سلخ SSL على أي شيء غير محمّل مسبقًا، والطلب من بيانات اعتماد داخل ما يبدو كتدفق تسجيل دخول عادي.

الاسم التقني هو «التوأم الشرير»، والجزء الصامت هو أنه لا شيء يحذرك أنه يحدث. هاتفك فقط يعرض أيقونة Wi-Fi المألوفة.

تكييف تحذيرات الشهادات

أصبحت المتصفحات جيدة في التحذيرات. وأصبح المستخدمون جيدين في تجاهلها.

حين ترى تحذير شهادة أحمر يملأ الصفحة، يعني هذا في الغالب أن شيئًا خاطئًا في الاتصال. أحيانًا بشكل حميد (شهادة منتهية الصلاحية)، وأحيانًا لا (رجل في المنتصف نشط). الحل هو عدم النقر للمتابعة. عمليًا، تدرّب الناس عبر سنوات من شبكات المؤسسات ذات الإعداد الخاطئ على الضغط على زر «المتابعة على أي حال» دون قراءة.

على شبكة مقهى، قد يكون هذا الزر هو الهجوم بأكمله.

كيف تعمل هجمة «التوأم الشرير» فعليًا

إن أردت صورة واحدة جوهرية لكيفية تلاؤم الأمور معًا، فهجمة التوأم الشرير هي المثال الأوضح.

يحضر المهاجم حاسوبًا محمولًا أو جهازًا محمولًا صغيرًا إلى مقهى. يشغّل برنامجًا يفعل ثلاثة أشياء بالتسلسل.

أولًا، يمسح الهواء بحثًا عن شبكات Wi-Fi القريبة ويلاحظ اسم (SSID) الشبكة الشرعية. لنقل إنها Cafe Guest. ثم يبدأ في بث إطارات إشارته الخاصة بنفس الاسم، في الغالب بطاقة أعلى كي تُفضّلها الأجهزة.

ثانيًا، يرسل إطارات إلغاء المصادقة للعملاء المتصلين بالفعل بالشبكة الحقيقية. إطارات إلغاء المصادقة جزء طبيعي من طريقة عمل Wi-Fi — تخبر الجهاز «لقد انقطع اتصالك، يرجى إعادة الاتصال.» على معظم الشبكات تكون غير مُصادَق عليها، مما يعني أن أي شخص يمكنه إرسالها. تُبعَد الهواتف عن الشبكة الحقيقية وتبحث عن مكان لإعادة الاتصال.

ثالثًا، يقدّم المهاجم بوابة تحقق. قد تطلب بريدًا إلكترونيًا وكلمة مرور «للوصول إلى Wi-Fi مجاني». قد تحاكي صفحة تسجيل دخول الفندق. وقد تتركك تمر بصمت، وتوجّه حركة مرورك عبر اتصالها الخاص، وتسجّل كل شيء. من منظور هاتفك، أنت متصل بالإنترنت. من منظور المهاجم، هم الآن ISP الخاص بك.

الدفاع ليس قراءة رؤوس الحزم. بل جعل الهجوم غير مثير للاهتمام — بعدم الانضمام التلقائي إلى شبكات مجهولة، وتوجيه حركة مرورك الحساسة عبر شيء لا تستطيع الشبكة المحلية النظر فيه، وعدم إدخال بيانات الاعتماد في صفحات لم تتصفحها عمدًا.

هل Wi-Fi العامة آمنة في 2026؟

الإجابة الصادقة: آمنة بما يكفي لمعظم الأشياء، غير آمنة بما يكفي لكل شيء.

قراءة الأخبار، والبحث عن وصفة طبخ، وتصفح وسائل التواصل — جيد. تكلفة الخطأ في هذه الحركة منخفضة والحمايات في المتصفحات الحديثة حقيقية.

تسجيل الدخول إلى بنكك، أو الوصول إلى لوحة تحكم عمل، أو الموافقة على تحويل مالي، أو التسجيل في خدمة جديدة ترسل إليك رمز استرداد عبر رسالة نصية — هذه لحظات ذات قيمة أعلى حيث تهم الفجوة بين «على الأرجح بخير» و«بخير بالتأكيد». الإجابة الرخيصة لسد هذه الفجوة هي عدم فعلها على شبكات لا تتحكم فيها.

خمس خطوات عملية

لا تتطلب أيٌّ منها التفكير في إطارات الحزم. إنها عادات.

  1. أوقف الانضمام التلقائي للشبكات المجهولة. على iPhone، هذا تحت الإعدادات ← Wi-Fi ← نقطة وصول تلقائية، وللشبكات الفردية تحت Wi-Fi ← (اسم الشبكة) ← الانضمام التلقائي. الهدف هو جعل جهازك يسألك قبل الانضمام إلى شيء باسم مألوف. راجع دليلنا التفصيلي لإعداد VPN على iPhone لخطوات ذات صلة.
  2. فضّل الشبكة الخلوية أو نقطة اتصالك الخاصة عند الإمكان. اتصال 5G ليس خاصًا تمامًا، لكن له مشغّل واحد مسؤول، ولا توجد طريقة سهلة لغريب يُدخل نفسه في المنتصف. لأي شيء حساس أثناء السفر، نقطة اتصال هاتفك عادةً أفضل إجابة من شبكة الفندق.
  3. استخدم VPN للحظات التي تهم. يوجّه VPN، اختصار لـ virtual private network، حركة مرورك عبر نفق مشفر إلى خادم تثق به، فترى الشبكة المحلية فقط هذا الاتصال الواحد ولا شيء عن وجهته. هذا يُبطّل معظم الفئات أعلاه: بوابة التحقق لا تزال تستطيع إزعاجك، لكنها لا تستطيع رؤية استعلامات DNS، ولا سلخ SSL على المواقع التي تزورها، ولا تتبع التطبيقات التي تستخدمها. إن كنت جديدًا على الفكرة، مقدّمتنا عن ماهية VPN فعلًا تغطي الأساسيات، ودليلنا لـ VPN أثناء السفر يتناول التفاصيل. Snap VPN خيار مبني حول هذا الموقف، لكن العادة الأشمل تهم أكثر من العلامة التجارية.
  4. لا تنقر للمتابعة عند تحذيرات الشهادات على الشبكات العامة. إن رأيت تحذير متصفح يملأ الصفحة بشأن شهادة، أغلق علامة التبويب. على شبكتك المنزلية فهو في الغالب موقع ذو إعداد خاطئ؛ على Wi-Fi مقهى قد يكون شخصًا نشطًا في المنتصف. تكلفة الخطأ عالية بما يكفي لجعل «حاول لاحقًا» الافتراض الصحيح.
  5. احتفظ بتسجيلات الدخول والمعاملات الحساسة للشبكات الموثوقة. الخدمات المصرفية، وإعادة تعيين كلمات المرور، وأي شيء يتضمن رمز استرداد أو تدفق التحقق بخطوتين — تستحق الاحتكاك الصغير للانتظار حتى العودة إلى الشبكة الخلوية أو Wi-Fi المنزلية. مكسب الراحة من فعلها في المطار لا يستحق التفاوت فيما يمكن أن يسوء.

ما يُصلحه VPN وما لا يُصلحه

هناك ضجيج كبير حول هذه النقطة، لذا يستحق التحديد.

يُصلح VPN:

  • قدرة الشبكة المحلية على رؤية استعلامات DNS الخاصة بك
  • سلخ SSL (حركة مرورك لا تعبر الشبكة المعادية بنص واضح)
  • تتبع بوابة التحقق بعد اجتيازها
  • قدرة نقطة وصول مارقة على معرفة أي شيء مفيد عن نشاطك

لا يُصلح VPN:

  • تحذير شهادة تنقر للمتابعة رغمه
  • صفحات تصيّد تُسجّل فيها بنشاط
  • برامج خبيثة موجودة بالفعل على جهازك
  • حقيقة أن المواقع التي تزورها لا تزال تستطيع التعرف عليك من خلال الحسابات وملفات تعريف الارتباط

إنه أداة دقيقة لفئة محددة من مخاطر Wi-Fi العامة. ليس درعًا سحريًا، والمنتجات التي تبيعه على هذا الأساس تبالغ في تقديم ما يفعله. مراجعتنا لـ خرافات VPN الشائعة تتناول المزيد من الفجوة بين التسويق والواقع.

خلاصة القول

حلّ HTTPS النسخة السهلة من المشكلة. النسخة الأصعب، الطبقة تحت الاتصال حيث يعيش DNS، وبوابات التحقق، ونقاط الوصول المارقة، غير مرئية إلى حدٍّ بعيد حتى يحدث خطأ ما.

لا تحتاج إلى أن تصبح مهندس شبكات لتكون معقولًا حيال هذا. أوقف الانضمام التلقائي، وكن متشككًا في بوابات التحقق، ولا تنقر للمتابعة عند تحذيرات الشهادات، واستخدم الشبكة الخلوية أو VPN حين تكون المخاطر حقيقية.

إن أردت التعامل مع جزء VPN بشكل نظيف على iOS — بدون بريد إلكتروني عند التسجيل، بدون سجلات حركة مرور، اشتراك يُحسب بهدوء عبر Apple ID — Snap VPN مبني حول هذا الموقف تمامًا. macOS قادم. في كلتا الحالتين، الشيء الأهم ليس أي تطبيق تثبّته؛ بل أن تتوقف عن التعامل مع شبكة المقهى كأنها شبكتك الخاصة.

The Snap VPN Team
Editorial