Subresource Integrity

From binaryoption
Jump to navigation Jump to search
Баннер1

```wiki

سلامة الموارد الفرعية

سلامة الموارد الفرعية (Subresource Integrity - SRI) هي آلية أمان ويب حديثة تهدف إلى حماية مواقع الويب من هجمات تعديل الملفات الخارجية التي يتم تحميلها من مصادر خارجية. هذه الهجمات يمكن أن تحدث عندما يتم اختراق شبكة توصيل المحتوى (CDN) أو خادم استضافة الملفات، أو عندما يقوم مهاجم بحقن ملفات ضارة في مسار تحميل الموارد. SRI تضمن أن المتصفح سيستخدم فقط الملفات التي لم يتم العبث بها، مما يقلل بشكل كبير من خطر تنفيذ التعليمات البرمجية الضارة على موقع الويب.

لماذا نحتاج إلى سلامة الموارد الفرعية؟

في الماضي، كانت مواقع الويب تعتمد بشكل كبير على المكتبات والخطوط وملفات CSS و JavaScript الخارجية المستضافة على خوادم مختلفة. هذه الممارسة تقدم العديد من المزايا، مثل:

  • تحسين الأداء: تحميل الموارد من شبكة CDN يمكن أن يقلل من زمن الاستجابة ويحسن سرعة تحميل الصفحة.
  • تقليل الحمل على الخادم: تفريغ تحميل الموارد الثابتة إلى خوادم خارجية يقلل من الحمل على خادم الويب الرئيسي.
  • التخزين المؤقت: يمكن للمتصفحات تخزين الموارد الخارجية مؤقتًا، مما يقلل من عدد الطلبات التي يجب إجراؤها في الزيارات اللاحقة.

ولكن، هذه الممارسة تأتي مع مخاطر أمنية. إذا تم اختراق أحد هذه الخوادم الخارجية، أو إذا قام مهاجم بإدخال ملف ضار في مسار تحميل الموارد، فسيتم تحميل هذا الملف وتنفيذه على موقع الويب الخاص بك، مما قد يؤدي إلى:

  • سرقة البيانات: يمكن للمهاجم سرقة معلومات حساسة من المستخدمين.
  • تعديل المحتوى: يمكن للمهاجم تغيير محتوى موقع الويب الخاص بك.
  • إعادة التوجيه إلى مواقع ضارة: يمكن للمهاجم إعادة توجيه المستخدمين إلى مواقع ويب ضارة.
  • تنفيذ تعليمات برمجية ضارة: يمكن للمهاجم تشغيل تعليمات برمجية ضارة على أجهزة المستخدمين.

كيف تعمل سلامة الموارد الفرعية؟

SRI تعمل عن طريق إضافة سمة `integrity` إلى علامات `<script>` و `<link>` و `<style>` في HTML. تحتوي سمة `integrity` على قيمة تجزئة (hash) للمورد، بالإضافة إلى خوارزمية التجزئة المستخدمة. عندما يقوم المتصفح بتنزيل المورد، فإنه يقوم بحساب التجزئة الخاصة به ويقارنها بالتجزئة المحددة في سمة `integrity`. إذا كانت التجزئتان متطابقتين، فإن المتصفح يستخدم المورد. إذا لم تتطابقا، فإن المتصفح يرفض تحميل المورد ويعرض خطأ.

مثال:

```html <script src="https://example.com/script.js" 

       integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqRBIjtwEQo55pQEqqW4L9L64IeQGuV9l3K"
       crossorigin="anonymous"></script>

```

في هذا المثال:

  • `src` هو عنوان URL للمورد.
  • `integrity` هو قيمة التجزئة التي تم حسابها للمورد. `sha384` تحدد خوارزمية التجزئة المستخدمة (SHA-384).
  • `crossorigin="anonymous"` ضروري في بعض الحالات، خاصة عند تحميل الموارد من نطاقات مختلفة.

أنواع خوارزميات التجزئة المدعومة

يدعم المتصفح الحديث عدة خوارزميات تجزئة لـ SRI، بما في ذلك:

  • `SHA-256`: خوارزمية تجزئة شائعة توفر مستوى جيدًا من الأمان.
  • `SHA-384`: خوارزمية تجزئة أكثر أمانًا من SHA-256، ولكنها تتطلب المزيد من الموارد الحسابية.
  • `SHA-512`: خوارزمية تجزئة أكثر أمانًا من SHA-384، ولكنها تتطلب المزيد من الموارد الحسابية.
  • `MD5`: خوارزمية تجزئة قديمة لم تعد تعتبر آمنة للاستخدام في SRI. (لا ينصح بها)

من الأفضل استخدام خوارزمية SHA-256 أو SHA-384 أو SHA-512.

كيفية إنشاء قيم التجزئة

هناك عدة طرق لإنشاء قيم التجزئة للموارد:

  • أدوات عبر الإنترنت: هناك العديد من الأدوات عبر الإنترنت التي يمكنها حساب قيم التجزئة للملفات. ابحث عن "SRI generator" على محرك البحث المفضل لديك.
  • أوامر سطر الأوامر: يمكنك استخدام أوامر سطر الأوامر مثل `openssl` أو `shasum` لحساب قيم التجزئة.
   مثال باستخدام `openssl`:

   ```bash
   openssl dgst -sha384 script.js
   ```
  • أدوات تطوير الويب: بعض أدوات تطوير الويب تتضمن ميزات لإنشاء قيم التجزئة.

أفضل الممارسات لتطبيق سلامة الموارد الفرعية

  • استخدم `crossorigin="anonymous"`: عند تحميل الموارد من نطاقات مختلفة، تأكد من تضمين السمة `crossorigin="anonymous"` في علامة `<script>` أو `<link>` أو `<style>`. هذا يضمن أن المتصفح لا يرسل أي بيانات اعتماد (مثل ملفات تعريف الارتباط) مع الطلب.
  • تحديث قيم التجزئة بانتظام: إذا تم تحديث المورد، فتأكد من تحديث قيمة التجزئة في سمة `integrity` أيضًا.
  • استخدم قيم تجزئة احتياطية: يمكنك توفير قيم تجزئة متعددة لخوارزميات مختلفة كاحتياط في حالة عدم دعم خوارزمية معينة من قبل المتصفح.
  • اختبر موقع الويب الخاص بك: بعد تطبيق SRI، اختبر موقع الويب الخاص بك للتأكد من أنه يعمل بشكل صحيح وأن المتصفح لا يرفض تحميل أي موارد.
  • كن حذراً مع الموارد التي يتم تحميلها ديناميكيًا: إذا كنت تقوم بتحميل موارد ديناميكيًا باستخدام JavaScript، فتأكد من حساب قيم التجزئة والتحقق منها بشكل صحيح.
  • تأكد من أن خادمك يدعم CORS: إذا كنت تستخدم `crossorigin="anonymous"`، فتأكد من أن الخادم الذي يستضيف المورد يدعم CORS (Cross-Origin Resource Sharing).

أدوات التحقق من صحة سلامة الموارد الفرعية

هناك العديد من الأدوات التي يمكنها مساعدتك في التحقق من صحة تطبيق SRI على موقع الويب الخاص بك:

  • WebPageTest: أداة اختبار أداء الويب التي يمكنها أيضًا التحقق من SRI.
  • SecurityHeaders.com: أداة تحليل أمان الويب التي يمكنها التحقق من SRI بالإضافة إلى رؤوس أمان أخرى.
  • Browser Developer Tools: يمكنك استخدام أدوات مطوري المتصفح (مثل Chrome DevTools أو Firefox Developer Tools) لفحص عناصر HTML والتحقق من سمات `integrity`.

SRI والخيارات الثنائية: علاقة غير مباشرة

على الرغم من أن SRI ليست مرتبطة مباشرة بالخيارات الثنائية، إلا أن الأمان العام لموقع الويب الذي يستخدم الخيارات الثنائية أمر بالغ الأهمية. SRI تساهم في هذا الأمان من خلال حماية الموقع من هجمات تعديل الملفات التي يمكن أن تؤدي إلى:

  • التلاعب بالأسعار: يمكن للمهاجم تغيير أسعار الخيارات الثنائية المعروضة على الموقع.
  • سرقة معلومات الحساب: يمكن للمهاجم سرقة معلومات حساب المستخدمين، مثل أسماء المستخدمين وكلمات المرور وأرقام بطاقات الائتمان.
  • إجراء معاملات غير مصرح بها: يمكن للمهاجم إجراء معاملات غير مصرح بها باستخدام حسابات المستخدمين.

لذلك، تطبيق SRI هو جزء من استراتيجية أمان شاملة لموقع ويب يستخدم الخيارات الثنائية.

استراتيجيات الخيارات الثنائية ذات الصلة

  • استراتيجية 60 ثانية: تعتمد على التداول السريع وتتطلب موقعًا آمنًا.
  • استراتيجية مارتينجال: تتطلب تأمينًا عاليًا ضد التلاعب.
  • استراتيجية بينديكت: تحتاج إلى بيانات دقيقة وموثوقة.
  • تداول الاتجاه: يعتمد على تحديد الاتجاهات بدقة.
  • تداول الاختراق: يتطلب تحليلًا فنيًا دقيقًا.
  • تداول الأخبار: يحتاج إلى معلومات موثوقة وفي الوقت الفعلي.
  • استراتيجية سترادل: تتطلب منصة تداول آمنة.
  • استراتيجية الخنق: تحتاج إلى تحليل دقيق للمخاطر.
  • استراتيجية الفراشة: تتطلب فهمًا عميقًا للخيارات.
  • تداول نطاق السعر: يعتمد على تحديد مستويات الدعم والمقاومة.

التحليل الفني والمؤشرات

  • المتوسطات المتحركة: تستخدم لتحديد الاتجاهات.
  • مؤشر القوة النسبية (RSI): يستخدم لتحديد ظروف ذروة الشراء والبيع.
  • مؤشر الماكد (MACD): يستخدم لتحديد التغيرات في الزخم.
  • بولينجر باندز: تستخدم لتحديد التقلبات.
  • مستويات فيبوناتشي: تستخدم لتحديد مستويات الدعم والمقاومة.

تحليل حجم التداول

  • حجم التداول الكبير: يشير إلى اهتمام قوي بالسوق.
  • حجم التداول المنخفض: يشير إلى ضعف الاهتمام بالسوق.
  • تحليل الاختلاف بين حجم التداول والسعر: يمكن أن يشير إلى انعكاس محتمل في الاتجاه.

الاتجاهات

  • الاتجاه الصاعد: يشير إلى أن الأسعار تتحرك للأعلى.
  • الاتجاه الهابط: يشير إلى أن الأسعار تتحرك للأسفل.
  • الاتجاه الجانبي: يشير إلى أن الأسعار تتحرك بشكل عرضي.

أسماء استراتيجيات الخيارات الثنائية الأخرى

  • استراتيجية التداول المتأرجح:
  • استراتيجية التداول اليومي:
  • استراتيجية التداول طويل الأجل:
  • استراتيجية التداول القائم على المخاطر:
  • استراتيجية التداول القائم على المكافآت:

الخلاصة

سلامة الموارد الفرعية هي آلية أمان قوية يمكن أن تساعد في حماية موقع الويب الخاص بك من هجمات تعديل الملفات. من خلال تطبيق SRI، يمكنك التأكد من أن المتصفح يستخدم فقط الملفات التي لم يتم العبث بها، مما يقلل من خطر تنفيذ التعليمات البرمجية الضارة على موقع الويب الخاص بك. تذكر أن SRI هي جزء من استراتيجية أمان شاملة، ويجب دمجها مع تدابير أمان أخرى لحماية موقع الويب الخاص بك بشكل كامل.

أمان الويب شبكة توصيل المحتوى (CDN) Cross-Origin Resource Sharing (CORS) هجمات تعديل الملفات خوارزميات التجزئة SHA-256 SHA-384 SHA-512 HTTPS تشفير البيانات ```

ابدأ التداول الآن

سجّل في IQ Option (الحد الأدنى للإيداع 10 دولار) افتح حساباً في Pocket Option (الحد الأدنى للإيداع 5 دولار)

انضم إلى مجتمعنا

اشترك في قناة Telegram الخاصة بنا @strategybin لتصلك: ✓ إشارات تداول يومية ✓ تحليلات استراتيجية حصرية ✓ تنبيهات اتجاهات السوق ✓ مواد تعليمية للمبتدئين

Баннер
Retrieved from "https://binaryoption.wiki/ar/index.php?title=Subresource_Integrity&oldid=43987"