قاموس
ما هو captive portal
صفحة تسجيل الدخول أو قبول الشروط التي تجبرك شبكات Wi-Fi العامة على اجتيازها قبل منح الوصول إلى الإنترنت.
Captive portal هو صفحة الويب التي تقدّمها شبكات Wi-Fi في الفنادق والمطارات والمقاهي والمؤتمرات قبل السماح لك بالوصول إلى الإنترنت المفتوح. تتصل بـ SSID، تفتح متصفّحًا، والشبكة تعيد توجيهك إلى نموذج تسجيل دخول، صفحة شروط خدمة، أو بوابة وصول مدفوع. حتى تُرسل، الشبكة ترفض إعادة توجيه حزمك.
التقنية معرَّفة بشكل غير محكم في RFC 8908 وRFC 8910، اللذان يوحّدان كيف يمكن للشبكة الإعلان عن URL البوابة عبر خيار DHCP 114 أو إعلانات راوتر IPv6. معظم البوابات القديمة تسبق هذه RFCs وتعتمد على اعتراض الحركة بدلًا من ذلك.
كيف يعمل الاعتراض
آليتان شائعتان.
إعادة توجيه HTTP. البوّابة توجّه كل الحركة على منفذ TCP 80 إلى خادمها الويب الخاص، بغضّ النظر عن IP الوجهة. متصفّحك يطلب http://example.com، البوّابة تجيب بـ 302 Found إلى URL البوابة. هذا يعمل فقط لـ HTTP العادي. مواقع HTTPS لا يمكن إعادة توجيهها بهذه الطريقة بدون إثارة تحذير شهادة، لذا أنظمة التشغيل تتحقّق من نقاط نهاية HTTP معروفة محدّدة (Apple يستخدم captive.apple.com، Microsoft يستخدم www.msftconnecttest.com، Android يستخدم connectivitycheck.gstatic.com) لاكتشاف بوابة قبل إطلاق علامة تبويب متصفّح.
اعتراض DNS. البوّابة تعيد IP الخاص بها لكل استعلام DNS، فأي اسم مضيف يُحلّ إلى البوّابة. هذا أعدوانية، يكسر DNSSEC، ويُسقط عملاء DNS المُشفَّر (DoH/DoT) في أوضاع فشل. الشبكات التي تعترض DNS غالبًا ما تحجب أيضًا UDP/53 إلى المُحلِّلات الأعلى.
بمجرد أن تصادق، البوّابة تضيف عنوان MAC الخاص بك (أو بصمة الجهاز) إلى قائمة سماح وتتوقّف عن اعتراض حركتك.
لماذا تكسر captive portals VPN
نفق VPN يحتاج إلى الوصول إلى خادمه. إذا كانت البوابة تعترض كل الحركة، النفق لا يستطيع التأسّس: بوّابة البوابة تجيب على handshake VPN بدلًا من إعادة توجيهه. أي kill switch مكوَّن لحجب الحركة غير VPN سيحجب صفحة البوابة نفسها، تاركًا المستخدم عالقًا.
مشكلة الدجاجة والبيضة: لا تستطيع توصيل VPN حتى تنهي البوابة، لكن kill switch قد يحجب البوابة حتى توصّل VPN. معظم عملاء VPN يحلّون هذا باكتشاف استجابة تحقيق captive-portal واسترخاء kill switch مؤقتًا في "وضع captive portal" حتى تنجح المصادقة.
اعتبارات أمنية
صفحة البوابة نفسها يقدّمها مشغّل الشبكة، غالبًا عبر HTTP عادي. يعطي ذلك المشغّل (أو أي شخص قريب من البنية التحتية للمشغّل) القدرة على حقن نصوص في الصفحة. نفس افتراض الثقة ينطبق على مُحلِّل DNS للمشغّل، معالجة الشهادات لأي HTTPS تستخدمه البوابة، وطبقة WPA2/WPA3 الكامنة.
ثلاثة مخاطر عملية:
- التعرّض قبل VPN. أي حركة يرسلها جهازك بين الانضمام إلى SSID وإنهاء البوابة مرئية للمشغّل. macOS وiOS يطلقان متصفّح captive-portal في عرض sandboxed لا يشارك ملفات تعريف الارتباط مع Safari، مما يحدّ من نطاق التأثير. Windows الأقدم ومعظم إصدارات Android تستخدم المتصفّح الافتراضي والجلسة الكاملة.
- بوابات مزوّرة. نقطة وصول مارقة يمكنها تقليد SSID فندق وتقديم بوابة مزيّفة تحصد أرقام بطاقات ائتمان أو تسجيلات اجتماعية.
- حقن نصوص مستمر. بعض شبكات الفنادق تحقن إعلانات أو نصوص تتبّع في صفحات HTTP حتى بعد المصادقة. التصفّح الحصري عبر HTTPS يهزم هذا.
إرشاد عملي
اتصل بالشبكة. اترك نظام التشغيل يكتشف البوابة ويفتحها. أكمل البوابة في علامة تبويب المتصفّح المقدَّمة من نظام التشغيل إذا كانت متاحة. ثم ابدأ VPN. تجنّب تسجيل الدخول إلى البريد الإلكتروني، البنوك، أو أي شيء حسّاس بين الانضمام إلى SSID والاتصال بـ VPN. إذا قدّم عميل VPN مطالبة "اكتُشف captive portal"، فضّل ذلك التدفّق على تعطيل kill switch يدويًا.
مصطلحات ذات صلة
جرّب Fexyn مجانًا لمدة 7 أيام
تطبيق Windows متاح الآن في النسخة التجريبية. WireGuard وVLESS Reality وOpenVPN دون تسجيل سجلّ التصفح أو استعلامات DNS أو محتوى حركة البيانات.
الأسعار