منصة جديدة لبناء تطبيقات الويب وحماية بيانات المستخدمين الحساسة

АвторFathi Abdo
Jul 9, 2014 в Miscellaneous

تعتمد تطبيقات الويب على خوادم (Servers) لتخزين ومعالجة المعلومات السرية، وهذا يتطلّب ثقة المستخدم بالخادوم لحماية البيانات من الإفصاح غير المصرح به. غالباً ما تكون هذه الثقة في غير محلها، لأن هناك العديد من الطرق التي يمكن أن تتسرب من خلالها البيانات السرية من الخادوم.

كاستغلال المهاجمين لثغرة أمنية ما في برنامج الخادوم لاختراقه. أو قد يلقي مسؤول الخادوم بنظرة خاطفة على البيانات على الخادوم نفسه، أو قد يرغم مشغل الخادوم في الكشف عن البيانات بموجب القانون حسب ما أوضحت تقارير الشفافية لشركات جوجل وياهو وفيس بوك وتويتر.

وهنا يطرح السؤال نفسه، هل من الممكن بناء تطبيقات ويب تحمي سرية البيانات ضد المهاجمين الذين تمكنوا من التحكم الكامل بالخوادم؟

ثمة نهج واعد، يطبّق باعطاء كل مستخدم مفتاح تشفير خاص به، وتشفّر بيانات المستخدم عبر استعمال المفتاح في متصفح الإنترنت، ومن ثم تخزين البيانات المشفرة فقط على الخادوم. هذا النموذج يضمن عدم قدرة المهاجم على قراءة أي معلومات سرية على الخادوم، لأنها تفتقر إلى المفاتيح اللّازمة لفك التشفير. في الواقع، لقد تم اعتماد هذا النموذج بالفعل من قبل بعض التطبيقات على شبكة الإنترنت والتي تعي أهمية الخصوصية.

للأسف، فإن هذا النهج يعاني من ثلاث مشاكل، أولها أمني، وثانيها وظيفي، وثالثها يعرف أوجه قصور في الكفاءة. أولاً، يمكن أن يقوم الخادوم المخترق بتقديم الشفرة البرمجية للعميل من جانب العميل إلى المتصفح واستخراج مفتاح وبيانات المستخدم. ضمان أن الخادوم لم يعبث بالشفرة البرمجية للتطبيق صعب لأن تطبيق الويب يتكون من العديد من الملفات، مثل صفحات HTML، وكود جافا سكريبت، وأنماطCSS، فغالباً ما يتم إنشاء صفحات HTML بشكل تلقائي.

ثانياً، إن هذا النهج لا يوفر تبادل للبيانات بين المستخدمين، وهي وظيفة حاسمة من تطبيقات الويب. لمعالجة هذه المشكلة، يمكن للمرء أن ينظر لتشفير المستندات المشتركة مع مفاتيح منفصلة، ​​وتوزيع كل مفتاح لجميع المستخدمين الذين يتشاركون في مستند عبر الخادوم. ومع ذلك، فإن توزيع مفاتيح عن طريق الخادوم من الأمور الصعبة نظراً لان الخادوم المعرض للخطر يمكن أن يقدم المفاتيح بشكل اعتباطي للمستخدمين، وبالتالي خداع المستخدم في استخدام مفاتيح غير صحيحة.

ثالثاً، يتطلّب هذا النهج منطق عمل التطبيق على متصفح الإنترنت الخاص بالمستخدم ليكن ممكناً فك تشفير بيانات المستخدم المشفرة. ولكن هذا غالباً ما يكون غير عملي: على سبيل المثال، القيام بعملية بحث لكلمة رئيسية يتطلب تحميل جميع الوثائق إلى المستعرض.

وكحل لكل تلك التحديات قام فريق من المطورين وخبراء الحاسوب التابعين لمعهد ماساتشوستس للتكنولوجيا (MIT) بتطوير منصة لبناء مواقع إنترنت وخدمات وتطبيقات للويب لا يمكن التجسس على خوادمها التي تضم بيانات مستخدميها وأطلق عليها اسم مايلار (Mylar).

وتقوم منصة مايلار ببناء تطبيقات الويب التي تقوم بتخزين البيانات المشفرة فقط على الخادوم. ويجعل مايلار هذه الخطوة عملية لفئات كثيرة من التطبيقات لحماية البيانات السرية على الخوادم المخترقة. كما أنها تعزز التحول الأخير في أطر تطبيقات الويب نحو تنفيذ المنطق بجانب شفرة جافا سكريبت للعميل، وإرسال البيانات، بدلاً من صفحات HTML، عبر الشبكة؛ يوفر هذا الإطار أساساً واضحاً للأمن. يتناول مايلار التحديات المذكورة أعلاه مع مزيج من تقنيات النظم والأوليات التشفيرية.

ويخزن مايلار البيانات الحساسة مشفرة على الخادم، ويفك شفرة تلك البيانات فقط في متصفحات المستخدمين. كما أن الميزة التي سيحصل عليها المستخدمين عند التعامل مع المواقع أو التطبيقات التي تستخدم منصة مايلار هي عدم تمكين أي طرف من الحصول على بياناتهم. فيما لو طلبت الحكومة على سبيل المثال من الشركة القائمة على خدمة إنترنت أو موقع الكتروني أو تطبيق للويب، البيانات الخاصة بمستخدميها لن تحصل إلا على بيانات مشفرة، فخوادم الخدمات القائمة على مايلار ليس لديها القدرة على إعطاء بيانات غير مشفرة”.

بإمكانكم الاطلاع على الورقة البحثية التي قدمها المطورين ولتحميل مايلار من هنا.

الصورة من موقع بيكساباي وتحمل رخصة المجال العام.