Threat Model

مخاطر خوادم البروكسي العامة وكيفية التعايش معها

3 min read Published 2026-04-29 Updated 2026-05-09 510 words

تعامل مع كل وكيل مجاني على أنه بنية تحتية غير موثوقة، لأنه كذلك. المشغل مجهول الهوية، ونموذج التمويل غير واضح، وقد يمر نفس المقبس عبر شبكة بوت نت، وجهاز توجيه منزلي مخترق، ومصيدة باحث في أسبوع واحد. لا شيء من ذلك يجعل الوكلاء المجانيين غير قابلين للاستخدام — بل يجعل مجموعة صغيرة من العادات غير قابلة للتفاوض.

الهجمات الشائعة

التهديدات ليست دراماتيكية. إنها من النوع الممل الذي ينجح لأن معظم المستخدمين لا يبذلون جهدًا للدفاع ضده.

سرقة بيانات الاعتماد عبر HTTP غير المشفر. إذا سجلت الدخول إلى أي شيء عبر http:// من خلال وكيل غير معروف، فإن المشغل يرى كلمة المرور. قم دائمًا بتوجيه TLS عبر CONNECT أو استخدم SOCKS إلى وجهة تفرض HTTPS بنفسها. تدفقات تسجيل الدخول الحديثة تعتمد فقط على HTTPS في المواقع الرئيسية، لكن الشبكات الداخلية القديمة، وصفحات إدارة إنترنت الأشياء، وأنظمة إدارة المحتوى القديمة ليست كذلك.

حقن الرؤوس والمحتوى. يمكن لوكيل HTTP خبيث إعادة كتابة أجزاء عشوائية من طلبك: تغيير ملفات تعريف الارتباط، استبدال المراجع، حقن معلمات تتبع، أو إزالة رؤوس التخزين المؤقت. يمكن للوكيل نفسه حقن محتوى في الاستجابات — نصوص برمجية في HTML، إعادة توجيه في JSON، إعلانات في صفحات ثابتة. إذا قرأت استجابات الخادم عبر الوكيل، فتعامل معها على أنها مخترقة حتى تتمكن من التحقق من سلامتها عبر مسار موثوق.

اختطاف DNS عبر SOCKS5. يمكن لـ SOCKS5 حل أسماء المضيفات عند الوكيل. إذا كذب الوكيل بشأن سجل DNS، فإنك تتصل بخادم يتحكم فيه المشغل. اضبط عميلك على الحل محليًا حيثما أمكن: curl --resolve example.com:443:93.184.216.34، أو في الكود، مرر عنوان IP بدلاً من اسم المضيف.

تسجيل حركة المرور. حتى الوكيل حسن النية قد يسجل كل عنوان URL تجلبه. بالنسبة لنماذج التهديد التي تتضمن "ما عناوين URL التي طلبها هذا الشخص"، فإن كل وكيل عام هو الأداة الخاطئة. استخدم Tor أو VPN مدفوع مع سياسة عدم تسجيل منشورة وسجل من الاستدعاءات القضائية المتنازع عليها.

استنزاف الموارد ضد العميل. بعض الوكلاء يقومون عمدًا بتقليص سرعة الاتصالات إلى حد الزحف، أو إرجاع استجابات كبيرة جدًا، أو إبقاء المقابس مفتوحة دون إرسال بيانات. قم بتعيين حدود صارمة لحجم الاستجابة ومهلات زمنية للاتصال من جانب العميل.

الدفاعات، حسب الأولوية

أرسل كل شيء داخل TLS عبر CONNECT أو إلى وجهة HTTPS عبر SOCKS. لا تعيد استخدام بيانات الاعتماد خلف وكيل عام قد تعيد استخدامها في أي مكان آخر. تحقق من صحة الشهادات بدقة — تثبيت المُصدر مبالغ فيه للاستخدام العادي، لكن قبول أي سلسلة هو تهور. اضبط مهلات زمنية قصيرة على الاتصال والقراءة. سجل استجابات الوكيل للمراجعة الجنائية عندما تكون المهمة مهمة. قم بالتدوير بشكل متكرر؛ الوكيل الذي عمل قبل خمس دقائق ليس بالضرورة نفس الوكيل الآن.

ما تفيد فيه الوكلاء المجانيون حقًا

ثلاث فئات من العمل تبرر الضوضاء. اختبار تباينات المحتوى الجغرافي: هل يقدم CDN الخاص بك الصفحة الصحيحة من فرانكفورت مقابل ساو باولو؟ تجريف البيانات العامة غير المصادق عليها: نتائج محركات البحث، واجهات برمجة التطبيقات العامة بدون حدود معدل لكل IP، محتوى مفهرس بالفعل في مكان آخر. التحقق من أن تطبيقك يتصرف بشكل صحيح عندما يكون عنوان IP الصادر غير مألوف للهدف — مفيد لضمان الجودة على الأنظمة التي تعتمد على قواعد الاحتيال المستندة إلى IP.

استخدمها لذلك. تقبل معدل الفشل. لا تضع أي شيء تمانع في فقدانه خلف أحدها.