الفحص المجاني لأمان الموقع: ما يغطّيه وما يفوته

بقلم فريق زمام ·

في هذه الصفحة

“فحص مجاني لأمان الموقع” من أكثر العبارات بحثاً في مجال الأمن، ومن أكثرها سوء فهم في الوقت ذاته. فالفحص الخارجي المجاني يستحقّ الإجراء فعلاً، شريطة أن تعرف بدقّة ما الذي يستطيع أن يخبرك به وما لا يستطيع. فإن أفرطت في الثقة به شعرتَ بالأمان لأسباب خاطئة، وإن استهنتَ به فرّطت في أرخص خفضٍ للمخاطر متاحٍ لك.

ما الذي يراه الفحص الخارجي المجاني

تقرأ الفحوص الخارجية غير التطفّلية معلومات عامةً أصلاً، ولا تحتاج أي وصول إلى أنظمتك:

وهذه تحديداً هي المشكلات التي يجدها المهاجم أولاً، لأنها ظاهرة للجميع. وإغلاقها يزيل الفرص السهلة، وهي معظمها.

أين يقع الخط

الفحص الخارجي غير التطفّلي لا يفعل — ولا ينبغي أن يفعل — أيّاً ممّا يلي:

تنتمي هذه الأنشطة إلى اختبار الاختراق: مهمة مُصرَّح بها ومعمّقة يفحص فيها المختبِر أنظمتك بنشاط وبإذنٍ منك. فالفحص الخارجي المجاني هو التمريرة الأولى الآمنة الخفيفة، بينما اختبار الاختراق هو المتابعة العميقة المدفوعة حين تحتاج تأكيداً عن نظام بعينه. كلٌّ منهما يجيب عن سؤال مختلف، وليس أحدهما نسخةً أرخص من الآخر.

كيف تقرأ النتائج

عامِل النتائج قائمةَ مهامٍ مرتّبةً بالأولوية، لا درجةً تُمنح. ابدأ بالبنود عالية الأثر قليلة الجهد — وغالباً ما تكون سياسة DMARC مفقودة، أو شهادة على وشك الانتهاء، أو ترويسات حماية غائبة — وأعِد الفحص بعد كل تغيير.

وكُن مرتاباً من أي “فحص مجاني” يطلب منك تثبيت برنامج، أو يطالب بصلاحيات واسعة، أو يضغط عليك نحو منتج مدفوع قبل أن يُريك شيئاً. فالفحص الخارجي الشرعي لا يحتاج سوى اسم نطاقك.

كيف يساعد زمام

زمام فحص خارجي مجاني مبنيٌّ حول هذا الخط بالضبط. تُرسِل نطاقاً وبريد عمل، وتؤكّد البريد، ثم تستلم تقريراً واضحاً بمشكلات إعداداتك العامة. وهو غير تطفّليٍّ بالتصميم — لا تسجيل دخول، ولا إرسال نماذج، ولا استغلال — والنتائج الحساسة لا تُنشر ولا تُرسَل بالبريد بشكل مكشوف.

ذات صلة

الهامش

  1. TLS — Transport Layer Security، بروتوكول أمان طبقة النقل. ولا تزال شهادته تُسمّى شائعاً “شهادة SSL”. ↩︎