انتقل إلى المحتوى
cutty.dev
All posts

أمان الروابط التي تحتوي على كلمات مرور - ماذا يحدث عند النقر عليها

يمكنك إضافة كلمة مرور إلى رابطك القصير. نوضح لك ما يحدث خلف الكواليس - دون الدخول في المصطلحات التقنية - ولماذا يستحق الأمر الاهتمام.

الرابط القصير المشفّر يبدو بسيطًا. تدخل كلمة المرور، وعلى شخص آخر إدخالها لرؤية الوجهة التي يشير إليها هذا الرابط. لكن وراء الكواليس، هناك المزيد. نوضح ما هو، ولماذا، ومتى يكون ذلك مفيدًا.

لماذا نحمي الروابط بكلمة مرور على الإطلاق

ثلاثة سياقات يكون فيها ذلك منطقيًا:

المحتوى الذي تريد إظهاره فقط لأشخاص محددين. قائمة الأسعار للعملاء المميزين، وثيقة بيتا قبل الإعلان العام، مواد تدريبية للأشخاص الذين دفعوا مقابل الدورة. بدون كلمة مرور، يمكن لأي شخص العثور على هذا الرابط في محرك البحث أو الحصول عليه من شخص آخر.

محتوى قصير العمر تريد إغلاقه. عرض خاص ليوم الجمعة، مواد من مؤتمر يجب أن تكون متاحة فقط للمشاركين. كلمة المرور تحول الرابط إلى دخول خاضع للتحكم — لديك اليقين بأن الزائر حصل على كلمة المرور منك، وليس من مصدر آخر.

المحتوى الذي تنشره علناً ولكنك تريد التحكم فيه. قائمة أسعارك الكاملة، عملية المنتج الداخلية لديك، عرضك للعميل. يمكن إرسال الرابط — ولكن بدون كلمة مرور، لن يتمكن أحد من الدخول.

ماذا يحدث عندما تضبط كلمة مرور

تدخل كلمة المرور في نموذج إنشاء الرابط. يتم تشفير كلمة المرور فورًا — حيث تتحول إلى سلسلة من الأحجام غير القابلة للقراءة. مجرد حقيقة أن كلمة المرور هي "secret123" تختفي عند النقر على "حفظ". حتى أنا، كشخص يدير الموقع، لا يمكنني قراءتها.

ما الذي يُحفظ في قاعدة البيانات؟ ليس كلمة المرور، بل بصمة الإصبع (تقنيًا "تجزئة" أو hash) — وهي سلسلة تتطابق مع كلمة مرورك فقط إذا أدخل شخص ما نفس السلسلة بالضبط. إذا اخترق شخص ما قاعدة بياناتنا، فسيحصل فقط على هذه السلاسل — وليس كلمات المرور الخاصة بروابطك.

نستخدم معيارًا صناعيًا مستخدمًا من قبل معظم أنظمة تسجيل الدخول عبر الإنترنت. إنه مجاني للحساب عمدًا — لكي يضطر القراصنة الذين يسرقون قاعدة البيانات إلى الانتظار ملايين السنين لتخمين كلمات المرور.

ماذا يحدث عندما ينقر شخص ما على رابطك

  1. يرى الزائر شاشة القفل بدلاً من التحويل المباشر. رسالة قصيرة تفيد بأن "هذا الرابط محمي بكلمة مرور" ومجال لإدخالها.
  2. يُدخل كلمة المرور ويضغط على "فتح القفل". يتم التحقق من كلمة المرور على الخادم مقابل البصمة المشفرة المخزنة.
  3. إذا تطابقت كلمة المرور — يحصل الزائر على رمز جلسة صالح لمدة 24 ساعة. خلال اليوم التالي، يمكنه العودة إلى هذا الرابط دون إدخال كلمة المرور. لا داعي للذكر.
  4. إذا لم تتطابق كلمة المرور — تظهر رسالة خطأ. بعد خمس محاولات فاشلة من نفس عنوان IP — يتم الحظر لمدة خمس دقائق. لن تتمكن البوتات من الدخول بالقوة.

ما لا نفعله

  • لا نقوم بتخزين كلمات المرور كنص واضح. أبداً. حتى في سجلات التصحيح.
  • لا نرسل كلمات المرور عبر البريد الإلكتروني. حتى إذا نسي الزائر كلمة المرور، فلا يمكننا تذكيره بها — لأننا لا نعرفها نحن أيضاً. يجب عليك إعادة إرسال كلمة المرور له من الحساب الذي تلقاها منه.
  • لا نرسل كلمات المرور لأطراف ثالثة. لا يوجد أي مزود خارجي للتحليلات أو التسويق أو الذكاء الاصطناعي — لديه وصول إلى هذه البيانات.

نصائح عملية

أنشئ كلمات مرور غير بديهية. اسم الشركة بالإضافة إلى سنة التأسيس فكرة ضعيفة. مولد كلمات المرور في المتصفح يقوم بذلك بشكل أفضل.

لا ترسل كلمة المرور عبر نفس القناة التي ترسل فيها الرابط. إذا كنت ترسل الرابط عبر البريد الإلكتروني، أرسل كلمة المرور عبر رسالة نصية (SMS). أو العكس. عندها لن يمنحك اختراق قناة اتصال واحدة وصولاً كاملاً.

يمكنك أن يكون لديك عدة روابط بنفس عنوان URL المستهدف ولكن بكلمات مرور مختلفة. هذا مفيد عندما تمنح الوصول لأشخاص مختلفين — يمكنك حظر رابط واحد عندما ينتهي هذا الوصول، دون التأثير على الآخرين.

يمكن تغيير كلمة المرور دون إنشاء رابط جديد. في لوحة التحكم، اختر "تعديل" → أدخل كلمة المرور الجديدة. ستنتهي جميع الجلسات النشطة لمدة 24 ساعة فورًا، ويجب على كل زائر إدخال كلمة المرور الجديدة.

عندما لا يكفي كلمة المرور

يحمي كلمة المرور من الفهرسة العامة ومن الوصول العشوائي. لا تحمي من الشخص الذي يعرف كلمة المرور ويرغب في مشاركتها. إذا كان سيناريو عملك يتطلب "يمكن لهذا الشخص المحدد فقط رؤية ذلك"، فستحتاج إلى تسجيل الدخول، وحسابات المستخدمين، والصلاحيات. هذه ميزة متقدمة (مخططة في خطة Pro المستقبلية).

في 95% من الحالات، يكفي عبارة "لا أريد أن يراها شخص عشوائي".

جرّب بنفسك — عند إنشاء الرابط، حدد "خيارات متقدمة" → "إضافة كلمة مرور".