كمستخدم عاديّ للانترنت في عالمنا المعاصر، من المحتمل جدًّا أنك قمت بمنح عددٍ من التطبيقات أو الخدمات المستندة إلى الويب صلاحية الوصول إلى بعضٍ من حساباتك على الشبكة العنكبوتيّة، لذا فإنّ كل تطبيق سمحت به في أي وقت مضى سيحافظ على صلاحيّاته تلك إلى الأبد، أو على الأقل إلى أن تقوم بإلغائه بنفسك عبر إزالة تطبيقات الطرف الثالث !1

مفهوم تطبيقات الطرف الثالث

إنّ تطبيق الطرف الثالث، أو الجهة الخارجية هو تطبيق تم إنشاؤه بواسطة مطور برامج مغاير للشركة المصنعة للجهاز الذي يتم تشغيل التطبيق عليه، أو لمالك موقع الويب الذي يمنحه صلاحية الوصول.

قد يتم الترحيب بتطبيقات الجهات الخارجية وقبولها، أو حظرها وتجنّبها من خلال ملكية الجهاز المحدّد، أو الحساب الخاصّ على موقع الويب؛ فعلى سبيل المثال، إنّ تطبيق متصفح الويب Safari الذي يأتي مع iPhone هو تطبيق أصلي مصنوع من قبل Apple، وفي نفس الوقت؛ فإنّ App Store يحتوي على تطبيقات أخرى لتصفح الويب وافقت Apple على استخدامها على iPhone، ولكنها لم تقم بتطويرها بالأساس، وأيضًا يسمح موقع Facebook لبعض التطبيقات الخارجية بالعمل على المنصّة الاجتماعية وتقديم الخدمات للمستخدمين بناءً على اختيارهم.

صلاحية وصول تطبيقات الطرف الثالث

عند استخدام تطبيق أو خدمة ويب تتطلب الوصول إلى بعض البيانات من حساباتك المختلفة على الانترنت؛ مثل بيانات Google، أو ملفّات Dropbox، وحتّى تغريدات على Twitter، فإنّ ذلك التطبيق لا يطلب عمومًا كلمة مرورك الخاصة بالخدمة، بل يطلب صلاحية الوصول باستخدام شيء يسمى OAuth، وإذا وافقت على هذه المطالبة، فسيتم منح صلاحية الوصول لهذا التطبيق إلى حسابك المقصود، وعندها يوفر موقع الحساب المقصود رمزًا مميزًا للخدمة المرتبطة، يمكّنها باستخدامه من الوصول إلى حسابك.

إنّ هذه الآلية في الواقع أكثر أمانًا من مجرد تقديم كلمة المرور لتطبيق الطرف الثالث؛ لأنك فعليًّا تحتفظ بكلمة المرور الخاصة بك آمنةً تمامًا، كما ومن الممكن أيضًا تقييد الوصول إلى بيانات محددة بعينها ضمن الموقع الرئيسي الواحد؛ فعلى سبيل المثال، يمكنك تفويض خدمة ما للوصول إلى بيانات حسابك في Gmail فقط، دون الاطّلاع على ملفاتك في Google Drive، أو استعرض أيّ بياناتٍ أخرى في حسابك على Google.

قد يبدو الأمر جيّدًا حتى الآن، ولكن من السهل نسيان قائمة التطبيقات والخدمات التي قمت بتمكين وصولها إلى حسابك، فلعلّك قمت بتجربة تطبيق ما لمرّة واحدة، وكانت تلك آخر مرّة، أو ربما توقفت عن استخدام تطبيق معيّن منذ سنوات!

إذا لم تقم بالتحقق من قائمة التطبيقات المعتمدة، وإزالة غير المرغوب منها بانتظام عبرإزالة تطبيقات الطرف الثالث ، ستحافظ تلك الخدمات على الصلاحيات الممنوحة لها مسبقًا إلى الأبد!

يمكن أن يستخدم التطبيق إمكانية الوصول تلك في جمع البيانات عنك بدون إذنك، أو ربّما تمّ بيع التطبيق أو الخدمة إلى مالكين جدد قد يرغبون في استخدامها لتحقيق ربح سريع بأي طريقة مهما كانت ضارّة وغير أخلاقيّة أو قانونيّة، وأنت على جهل تام بهذه الإجراءات، وفي أسوأ الأحوال؛ قد يتم اختراق خدمة الويب نفسها من قبل المهاجمين واللصوص، الذين سيستخدمون صلاحية الوصول تلك للقيام بشيء سيء حتمًا.

لن يؤدي تغيير كلمة المرور إلى إزالة تطبيقات الطرف الثالث وإبطال وصول التطبيقات المتصلة تلقائيًا، فحتى لو غيرت جميع كلمات مرورك معتقدًا أنك بدأت من الصفر، فستحتفظ الخدمات بميزة الوصول إلى حسابك.

يجب عليك منح الوصول إلى التطبيقات التي تثق بها وتستخدمها بانتظام فقط، وإذا لم تعد إحداها تفيدك أو تستهويك، فيجب عليك إزالة تطبيقات الطرف الثالث لمجرد الأمان بالدرجة الأولى، ومن ثمّ لاعتبارات تنظيميّة بحتة.

استخدم هذه الروابط

لتأمين حساباتك، ستحتاج إلى زيارة صفحة معينة على كل موقع تستخدمه، والتحقق من قائمة الخدمات المتصلة، فإذا رأيت خدمة، أو تطبيقًا لم تعد تستخدمه، فقم بإلغاء وصوله إلى حسابك بنقرة واحدة أو اثنتين.

لتسريع هذا الأمر، جمعنا قائمة بالروابط الأصليّة إلى الصفحات المناسبة على مواقع الويب الشائعة التي تستخدم OAuth، فإذا كنت تستخدم إحدى الخدمات الواردة أدناه، فانقر على رابطها للتحقق من قائمة الخدمات المتصلة، وقم بإبطال وصول الخدمات التي لم تعد تستخدمها:

إذا كنت تستخدم موقعًا إلكترونيًا آخر، وأعطيت تطبيقات تابعة لجهات خارجية إمكانية الوصول إليه باستخدام مطالبة OAuth مشابهة، فستحتاج إلى التحقق من صفحة إعدادات الحساب، والبحث عن قائمة بالمواقع أو الخدمات أو التطبيقات المتصلة.

إنّ أحد أسوأ الإجراءات الاحتياليّة التي يتمّ الانخداع بها هي النقر فوق الارتباطات الموجودة على مواقع الويب التي تموّه نفسها وتدّعي حقّ الوصول إلى حسابات Google أو Microsoft أو Facebook أو Twitter، وتطلب عمليات تسجيل الدخول باستخدام البريد الالكتروني وكلمة المرور للضحيّة.

يقوم المخادعون بانتحال هوية المواقع الأصليّة بهذه الطريقة لسرقة كلمات المرور الخاصة، فإذا رأيت أيّ مطالبة بكلمة مرور بعد النقر على رابط مثل الروابط أعلاه، وفي أيّ موقع كان على الويب، فتأكد من أنك تستخدم موقع الخدمة الحقيقي وليس موقعًا مزيفًا.

تأكّد دومًا من التحقق من قائمة التطبيقات والمواقع المتصلة بشكل منتظم على مواقع الويب التي تستخدمها، وإذا منحت تطبيقًا أو خدمة ما صلاحية الوصول إلى بيانات حساسة، فتأكد من إبطال وصولها فورًا عند التوقف عن استخدامها عبر إزالة تطبيقات الطرف الثالث .2

المراجع