ما يحميه HTTPS فعلاً
منذ عام 2018، أصبح HTTPS المعيار المطلق للويب. فبفضل مبادرة Let's Encrypt وسياسات المتصفّحات (يميّز Chrome وFirefox مواقع HTTP بأنها «غير آمنة»)، بات أكثر من 95% من حركة الويب العالمية مشفّراً عبر TLS.
يحمي هذا التشفير محتوى تبادلاتك من طرف إلى طرف: كلمات مرورك، وبيانات بطاقتك المصرفية، ورسائلك، وملفاتك. فمن يعترض حركة Wi-Fi الخاصة بك لا يرى سوى ضجيج تشفيري — ولا يمكنه قراءة ما ترسله أو تستقبله.
لذلك فإن Wi-Fi العام في 2026 أقل خطورة بشكل جوهري مما كان عليه في 2015 من حيث الاعتراض المباشر للبيانات. ومعظم النصائح المثيرة للذعر التي تقرأها موروثة من حقبة كان HTTP لا يزال فيها منتشراً في كل مكان.
ما لا يحميه
لا يُخفي HTTPS البيانات الوصفية (metadata). فعلى شبكة لا تتحكّم فيها، يمكن لمراقب أن يرى إلى أي نطاق تتّصل (ليس العنوان الدقيق، بل النطاق — بفضل حقل SNI الظاهر بنصّ واضح أثناء مصافحة TLS)، وفي أي وقت، ولأي مدة، وكمّ البيانات المتبادَلة. هذه البيانات الوصفية كاشفة.
يمكن للمهاجم على الشبكة نفسها أيضاً تنفيذ تزوير DNS (DNS spoofing) إذا لم يستخدم جهازك DNS over HTTPS — باستبدال استجابات DNS الشرعية بعناوين تشير إلى خوادمه الخاصة. ويمكنه إنشاء نقطة اتصال مزيّفة تحمل الاسم نفسه تماماً لشبكة Wi-Fi الشرعية (هجوم التوأم الشرير Evil Twin) لاعتراض اتصالاتك قبل أن تصل إلى الإنترنت. كما يمكنه محاولة تعرية SSL (SSL stripping) على المواقع النادرة التي لا يكون HSTS مفعّلاً فيها.
المخاطر الحقيقية في 2026
في الممارسة العملية، تكون المخاطر المتبقّية على Wi-Fi العام في 2026 كما يلي:
- →التوأم الشرير (Evil Twin): شبكة Wi-Fi مزيّفة تحمل الاسم نفسه تماماً للشبكة الشرعية — وهو أسلوب شائع بشكل خاص في المطارات ومحطات القطار الكبرى. تتّصل بما يبدو أنه الشبكة الصحيحة، لكن حركة بياناتك تمرّ عبر جهاز يتحكّم فيه مهاجم.
- →تزوير DNS إذا لم يفرض جهازك DNS over HTTPS — يمكن إعادة توجيه استعلامات DNS الخاصة بك إلى خوادم خبيثة.
- →تطبيقات لا تزال تستخدم HTTP الصريح لبعض الوظائف (المصادقة، المزامنة) — نادرة في 2026 لكنها موجودة.
- →اختطاف الجلسة (session hijacking) على المواقع التي لا تُهيّئ ملفات تعريف الارتباط Secure وSameSite بشكل صحيح.
توصيات عملية
على شبكة Wi-Fi عامة، يبقى تفعيل الـ VPN قبل أي اتصال هو أفضل ممارسة. فالـ VPN يلغي هجوم التوأم الشرير (تُشفَّر حركة بياناتك قبل أن تغادر جهازك أصلاً) وتزوير DNS (يستخدم الـ VPN خوادم DNS مشفّرة خاصة به).
عطّل الاتصال التلقائي بشبكات Wi-Fi على هاتفك — فهذه هي الميزة التي توصلك تلقائياً بأي شبكة تحمل اسماً استخدمته من قبل. إنها مريحة، لكن هجمات التوأم الشرير تستغلّها.
تحقّق من أن المواقع الحسّاسة (المصرف، البريد الإلكتروني، التسوّق) تعرض قفل HTTPS في متصفّحك قبل إدخال أي شيء. على iOS وAndroid، تفرض التطبيقات الجادّة HTTPS بشكل أصلي.
شبكة Wi-Fi العامة أقل خطورة مما كانت عليه قبل عشر سنوات، لكن هذا ليس سبباً لخفض مستوى الحذر. فالمخاطر المتبقّية — التوأم الشرير، وتزوير DNS، والتطبيقات المُهيّأة بشكل خاطئ — حقيقية وقابلة للاستغلال. ومع تفعيل الـ VPN وDNS over HTTPS، فأنت محميّ من جميع الهجمات العملية تقريباً على شبكة غير آمنة.
- Google, "HTTPS encryption on the web", Google Transparency Report (accessed 2026)
- Emily Schechter, "A milestone for Chrome security: marking HTTP as 'not secure'", Google Chrome Blog, 2018
- Cloudflare, "Encrypt it or lose it: how encrypted SNI works", Cloudflare Blog, 2018
- P. Hoffman & P. McManus, "RFC 8484: DNS Queries over HTTPS (DoH)", IETF, 2018
- M. Souppaya & K. Scarfone, "NIST SP 800-153: Guidelines for Securing Wireless Local Area Networks (WLANs)", NIST, 2012
فعّل VPN من Trasimène