Webtagr - ملخصات الأخبار التكنولوجية

cURL يغرق في تقارير الثغرات الأمنية التي تولدها الذكاء الاصطناعي

2025-07-14

يُعاني فريق أمن مشروع cURL من طوفان من تقارير الثغرات الأمنية منخفضة الجودة، والعديد منها مُولّد بواسطة الذكاء الاصطناعي. هذه التقارير تُضيع وقتًا ومواردًا كبيرة (3-4 أشخاص، من 30 دقيقة إلى 3 ساعات لكل تقرير)، مما يُقلل بشكل كبير من كفاءة اكتشاف الثغرات الأمنية الحقيقية. في عام 2025، كانت حوالي 20% من الإرساليات عبارة عن قمامة مُولّدة بواسطة الذكاء الاصطناعي، مما أدى إلى انخفاض حاد في معدل التقارير الصالحة. يفكر الفريق في إلغاء المكافآت المالية أو تنفيذ تدابير أخرى للحد من الإرساليات منخفضة الجودة للحفاظ على سلامة الفريق وأمن المشروع.

اقرأ المزيد

(daniel.haxx.se)

التطوير تقارير الثغرات الأمنية

ثغرة أمنية في مُراجع فرق جيثب: استغلال استبدال أحرف يونيكود

2025-05-17

اكتشف مساهم في مشروع curl، جيمس فولر، ثغرة أمنية في مُراجع فرق جيثب. يمكن للمهاجمين استبدال أحرف ASCII بأحرف يونيكود متطابقة بصريًا، مما يُغير الكود دون تغيير ظاهر. قد يؤدي هذا إلى التلاعب بعناوين URL وغيرها من العواقب الوخيمة. في حين أن مُراجع فرق جيثب لم يُصدر تحذيرًا، أشارت منصات أخرى مثل جيتيا إلى مثل هذه التغييرات. استجاب مشروع curl من خلال تنفيذ عمليات فحص CI لاكتشاف أحرف يونيكود الخبيثة وتنظيف تسلسلات UTF-8. يُبرز هذا الحاجة إلى اتخاذ إجراءات وقائية بشأن أمن الكود لمنع الهجمات المحتملة.

اقرأ المزيد

(daniel.haxx.se)

التطوير أمن الكود ثغرة جيثب

حجب كيرل لـ.onion: صراع بين الأمن وسهولة الاستخدام

2025-05-16

من أجل منع تسريبات DNS من نطاقات .onion من قِبل مستخدمي Tor، قام curl بتنفيذ RFC 7686 قبل عامين، مما يحجب حل نطاقات .onion. ومع ذلك، هذا يكسر الأداة الجديدة oniux من Tor، ويمنعها من استخدام curl للوصول إلى مواقع .onion. هذا يبرز تضاربًا بين الأمن وسهولة الاستخدام: الالتزام الصارم بـ RFC يؤثر على تجربة المستخدم، بينما تخفيف القيود يزيد من مخاطر الأمن. يعمل فريق curl الآن على إيجاد حل يوازن بين الأمن واحتياجات المستخدم.

اقرأ المزيد

(daniel.haxx.se)

التكنولوجيا تسريب DNS

كارثة النقاط في برنامج كيرل: ثغرتان أمنيتان ومطاردة لا تنتهي

2025-05-15

واجه فريق كيرل صراعًا مستمرًا مع النقاط المتتالية في أسماء المضيفين ضمن عناوين URL. في البداية، تم تجاهلها، ثم تم استعادة الدعم للمواقع التي تتطلب نقاطًا متتالية. ومع ذلك، أدى هذا التغيير عن غير قصد إلى ظهور ثغرتين أمنيتين (CVE-2022-27779 و CVE-2022-30115) تؤثران على معالجة ملفات تعريف الارتباط وآلية HSTS على التوالي. نشأت هاتان الثغرتان من المعالجة غير الصحيحة للنقاط المتتالية، مما أدى إلى تطابق خاطئ للأسماء النطاقية. يقوم إصدار كيرل 7.83.1 بإصلاح هذه المشكلات، لكن المؤلف يشتبه في أن هذا قد يكون مجرد بداية صراع طويل الأمد.

اقرأ المزيد

(daniel.haxx.se)

التطوير كيرل

Curl آمن: بناء رمز C موثوق لمليارات التثبيتات

2025-04-07

يشارك فريق curl ممارساته لبناء أدوات نقل شبكة آمنة وموثوقة بلغة C. يبرزون أهمية الاختبارات المكثفة، بما في ذلك التحليل الثابت واختبارات الضبابية. حوالي 40٪ من ثغرات الأمان الخاصة بهم ناتجة عن عدم أمان الذاكرة في C، لكن معايير الترميز الصارمة، وإنفاذ الأنماط، وتجنب الوظائف الخطرة تحافظ على هذا الرقم منخفضًا. يُشدد أسلوب ترميز curl على القابلية للقراءة والصيانة من خلال حدود طول السطور، وأسماء المتغيرات القصيرة، والترجمة بدون تحذيرات. معالجة الأخطاء القوية، واستقرار واجهة برمجة التطبيقات، وإدارة الذاكرة الدقيقة ضرورية لموثوقية البرنامج وأمانه.

اقرأ المزيد

(daniel.haxx.se)

التطوير أمان C

دعم تجريبي من curl لـ HTTPS RR: الجيل التالي من سجلات DNS

2025-03-31

يدعم curl الآن بشكل تجريبي نوع سجل DNS الجديد HTTPS RR، مما يوفر طريقة أكثر حداثة من SRV و URI لنقل بيانات التعريفات، مثل تكوين ECH، وقوائم ALPN، وأسماء المضيفات المستهدفة، والمنافذ، وعناوين IP. يحسن HTTPS RR من أمان اتصال HTTPS (عبر تشفير ECH لحقل SNI) وكفاءته (من خلال استرداد معلومات دعم HTTP/3 مسبقًا)، ويُبسّط اكتشاف الخدمات. يحقق curl حل HTTPS RR من خلال DoH، أو getaddrinfo()، أو c-ares، ولكنه يفتقر حاليًا إلى تعطيل وقت التشغيل ولا يزال دعم HTTPS RR غير مكتمل.

اقرأ المزيد

(daniel.haxx.se)

التطوير

تحليل حركة مرور curl.se: 2 تيرابايت/يوم، من أين يأتي كل هذا؟

2025-02-22

يعالج موقع curl.se 62.95 تيرابايت من حركة المرور شهريًا، بمعدل يزيد عن 2 تيرابايت يوميًا، وبلغ ذروته عند 3.41 تيرابايت. وعلى الرغم من عدم وجود سجلات مفصلة، إلا أن البيانات تُظهر أنه من بين 12.43 مليار طلب، كان هناك 1.12 مليون طلب تنزيل فقط لحزم curl (أقل من 10٪ من إجمالي حركة المرور). وتُعالج الغالبية العظمى من حركة المرور (99.77٪) بواسطة ذاكرة التخزين المؤقت لشبكة توزيع المحتوى Fastly. ومع ذلك، فإن الاستخدام الواسع النطاق لبروتوكول HTTP/1.1 و TLS 1.2 يُشير إلى كمية كبيرة من حركة المرور غير القادمة من المتصفحات، ربما من برامج الروبوت أو أدوات أخرى. وتشير التحليلات إلى أن 207.31 مليون عملية تنزيل لملفات بحجم يتراوح بين 100 كيلوبايت و 1 ميجابايت (على الأرجح شهادات CA) قد تُفسّر جزءًا كبيرًا من حركة المرور المتبقية. وتُوزّع حركة المرور بالتساوي في جميع أنحاء العالم، على عكس حالات التركيز السابقة في الصين.

اقرأ المزيد

(daniel.haxx.se)

التكنولوجيا حركة مرور الشبكة شبكة توزيع المحتوى

أكثر من 20 عامًا من الحرب ضد الاتصالات غير الآمنة: استعراض لـ libcurl

2025-02-11

منذ أن أصبح curl يدعم SSL في عام 1998، أصبحت التحقق من الشهادات الافتراضية حجر الزاوية في أمن الشبكة. ومع ذلك، لا يزال المطورون يقومون بإلغاء تمكين هذا الفحص المهم، مما يؤدي إلى ثغرات أمنية واسعة الانتشار. تستعرض هذه المقالة تطور libcurl، وتستكشف مخاطر تعطيل التحقق، وتقترح حلولًا مثل تحسينات واجهة برمجة التطبيقات، والتوثيق المحسّن، وتقارير الأخطاء الاستباقية. إن الكفاح من أجل اتصالات آمنة هو معركة طويلة الأمد.

اقرأ المزيد

(daniel.haxx.se)

التطوير التحقق من الشهادات

OpenSSL ترفض واجهة برمجة التطبيقات QUIC: هل هذا نكسة لاعتماد HTTP/3؟

2025-01-21

رفضت OpenSSL، مكتبة TLS الأكثر شيوعًا، إضافة واجهة برمجة تطبيقات QUIC إلى إصداراتها القادمة، مما يشكل عائقًا كبيرًا أمام اعتماد HTTP/3 على نطاق واسع. على الرغم من طلب سحب من المجتمع (PR8797) يوفر واجهات برمجة التطبيقات اللازمة، قررت لجنة إدارة OpenSSL إنشاء مجموعة QUIC كاملة من الصفر، وهي عملية من المتوقع أن تستغرق عدة سنوات. أثار هذا القرار إحباطًا في المجتمع، حيث توجد بالفعل مكتبات QUIC ناضجة. أنشأت Microsoft و Akamai quictls، وهو فرع من OpenSSL مع واجهة برمجة تطبيقات QUIC، كحل بديل. ومع ذلك، هذا ليس حلاً مستدامًا، مما يترك مستقبل اعتماد HTTP/3 غير مؤكد بسبب قرار OpenSSL.

اقرأ المزيد

(daniel.haxx.se)

التطوير

curl يحصل على تحديث رئيسي: دعم قراءة الملفات الجزئية

2024-12-30

يقدم إصدار curl 8.12.0 القادم وظيفة جديدة مثيرة: القدرة على قراءة الملفات الجزئية. يمكن للمستخدمين الآن استخدام نظام متغيرات جديد لاستخراج نطاقات بايت محددة من الملفات واستخدامها في أسطر أوامر curl. هذا يضيف مرونة كبيرة لكيفية تعامل curl مع الملفات، مما يسمح بمهام مثل استخراج بداية الملف كاسم مستخدم أو قسم في المنتصف كجسم POST. هذا يوسع قدرات curl بشكل كبير، مما يوفر للمستخدمين أداة سطر أوامر أكثر قوة.

اقرأ المزيد

(daniel.haxx.se)

التطوير معالجة الملفات

cURL و libcurl يتخليان عن Hyper

2024-12-22

بعد أربع سنوات من التجربة، أعلن مشروع cURL أنه يتخلى عن استخدام مكتبة Hyper القائمة على Rust كخلفية لـ HTTP. على الرغم من مزايا Hyper في مجال سلامة الذاكرة ودعم Let's Encrypt، إلا أن نقص الطلب من المستخدمين ومشاركة المطورين أدى إلى إنهاء المشروع. ذكر فريق cURL التكلفة العالية للحفاظ على رمز Hyper والتركيز على تحسين وصيانة قاعدة التعليمات البرمجية الحالية. وعلى الرغم من فشل التجربة، إلا أن cURL اكتسب خبرة قيّمة وحسّن من قدراته في معالجة HTTP.

اقرأ المزيد

(daniel.haxx.se)

التطوير

حالة HTTP/3 الحالية: التحديات والفرص على طريق التبني

2024-12-16

مواصفات HTTP/3 مكتملة ولكنها تنتظر النشر النهائي. دعم الخادم مرتفع بشكل مدهش، خاصة بين المواقع الإلكترونية الرائدة. قامت شركات كبرى مثل Cloudflare بتمكين HTTP/3، وتدعم المتصفحات ذلك على نطاق واسع. ومع ذلك، لا يزال دعم العميل، مثل curl، غير مكتمل، ويعود ذلك إلى حد كبير إلى تأخر تطوير مكتبات TLS التي تدعم QUIC. تم تأجيل دعم QUIC من OpenSSL، بينما تواجه البدائل مثل BoringSSL و quictls قيودًا. على الرغم من أن HTTP/3 يعد بتحسينات في السرعة، إلا أن الفوائد الفعلية تعتمد على ظروف الشبكة. يعتمد التبني الواسع النطاق على إصدار المواصفات ومكتبات TLS الناضجة.

اقرأ المزيد

(daniel.haxx.se)

التطوير