Aug 15, 2025
اساسيات الويب
"عمرك دخلت موقع وحسيت إن العنوان مش مريحك؟ 👀"
أنت بتتصفح موقع، بتحط بياناتك، وتدفع أو بتسجّل دخول — هل تعلم إن بعض المواقع بتبعت بياناتك على ورق بريد (قابلة للقراءة) والبعض التاني بتبعتها داخل مظروف مغلق؟ هنا بنتكلم عن الفرق بين HTTP و HTTPS. المشكلة إن كتير من الناس ما بيفرقوش بين البروتوكولين، وفيه ناس بتدخل معلومات حساسة على مواقع لسا بتشتغل بـHTTP فقط — وده معرضها للاختراق أو التجسس خصوصًا على شبكات واي-فاي عامة.
في المقالة دي هعمل لك شرح بسيط ومباشر:
إيه هو HTTP، إيه هو HTTPS، وإزاي HTTPS بيأمّن الاتصال (بمعنى تشفير، صحة البيانات، والتحقق من هوية الموقع). هديك أمثلة عملية صغيرة (أوامر curl وheaders)، نصائح سريعة للمستخدم والمطور، وطريقة سريعة تتحقق بيها إن الموقع آمن قبل ما تدخل بياناتك. في الآخر، هتطلع فاهم الفرق وتعرف تعمل خطوات بسيطة علشان تحمي نفسك أو تطبيقك. يلا نبدأ! 🚀
1- ما هو HTTP؟
- HTTP = HyperText Transfer Protocol — بروتوكول تبادل بيانات صفحات الويب.
- ببساطة: هو "قواعد" بتخلي المتصفح والسيرفر يتكلموا مع بعض.
- الاتصال عبر HTTP غير مشفّر؛ يعني أي حد يعترض الحزمة (packet) يقدر يقرأ المحتوى بسهولة.
تخيل HTTP كـ"بطاقة بريد" — أي واحد يفتح الصندوق يقدر يقرا اللي مكتوب.
2- ما هو HTTPS؟
- HTTPS = HTTP فوق طبقة أمان (TLS — Transport Layer Security).
- HTTPS يشفر البيانات بين المتصفح والسيرفر ويضمن: الخصوصية (Encryption)، تكامل البيانات (Integrity)، والتحقق من هوية السيرفر (Authentication).
- عمليًا، المتصفح يتحقق من شهادة (certificate) صادرة عن جهة موثوقة (CA).
- في طلب HTTPS ستلاحظ handshake ووجود شهادة — والمتصفح يظهر قفل 🔒.
يعني HTTPS كأنه "مغلف مختوم" بدل بطاقة البريد — اللي يمسكها مش هيعرف يقرأها.
HTTP من موقع MDN
الفرق التقني الأساسي (قائمة سريعة)
- التشفير: HTTP = لا؛ HTTPS = نعم (TLS).
- التحقق: HTTPS يتحقق من هوية الموقع عبر شهادات من CA.
- المنفذ الافتراضي: HTTP يستخدم المنفذ 80، HTTPS يستخدم 443.
- الأداء: HTTPS يتطلب TLS handshake لكن مع HTTP/2 وTLS1.3 الأداء غالبًا ممتاز.
- الأمان من التلاعب: HTTPS يمنع هجمات MITM (Man-In-The-Middle) بسهولة أكبر.
- تقنياً: لو موقعك لا يعيد توجيه كل طلبات HTTP إلى HTTPS — اعتبره خطر!
مثال عملي: هجوم MITM بسيط (شرح مبسّط)
سيناريو: أنت على واي-فاي مقاهي، واحد على نفس الشبكة يعترض طلبات HTTP.
إذا ضُعِفت صفحة تسجيل الدخول عبر HTTP، المهاجم يقدر يشوف اسم المستخدم والباسورد.
مع HTTPS، المهاجم لن يستطيع قراءة المحتوى لأن البيانات مشفرة.
analogy: HTTP = رسالة مكتوبة على ورق؛ HTTPS = رسالة داخل مظروف مشفر.
كيف تتحقق أن الموقع آمن؟ (خطوات سريعة للمستخدم)
- تأكد من ظهور 🔒 في شريط العنوان وبدء العنوان بـ https://.
- اضغط على القفل -> عرض الشهادة -> تأكد من اسم المُصدِر وصلاحية الشهادة.
- لا تدخل بيانات حساسة على صفحات تُظهر "Not secure" أو تحذيرات المتصفح.
للمطورين: أفضل الممارسات لتفعيل HTTPS صحيح
- فعّل إعادة توجيه HTTP → HTTPS على مستوى السيرفر (مثال: 301 redirect).
- استخدم شهادات من جهات موثوقة (Let's Encrypt خيار مجاني وشائع).
- فعّل HSTS لإجبار المتصفحات على استخدام HTTPS فقط:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload - استعمل إعدادات آمنة للكوكيز: Secure; HttpOnly; SameSite=Strict.
- حدّث TLS لإصدارات حديثة (TLS 1.2/1.3)، وراقب انقضاء الشهادات.
للمطور: استخدم أدوات فحص مثل SSL Labs لعمل audit سريع للسيرفر. - تجنّب المواقع التي تحتوي "mixed content" (محتوى مشفّر وغير مشفّر معًا).
سريع: لو الموقع يطلب تحويلك لدفع ومع عنوان HTTP — لا تدخل.
موقع Lets Encrypt
اختبار إعدادات SSL/TLS للسيرفر
خلاصة سريعة:
الفرق بين HTTP و HTTPS هو الفرق بين رسالة عالملأ ومظروف مختوم مشفر.
HTTPS يقدّم ثلاث فوائد أساسية:
- تشفير (عدم قدرة المتطفلين على قراءة البيانات)، تكامل (منع التعديل أثناء النقل)
- التحقق من هوية الموقع (اللي يخبر المستخدم إنّه يتعامل مع الموقع الصحيح).
- لو أنت مستخدم: دايمًا دوّر على القفل وابتعد عن إدخال بيانات على مواقع غير مؤمنة.
- لو أنت مطور: فعّل HTTPS بشكل افتراضي، جدد شهاداتك بانتظام، واستخدم HSTS وسياسات كوكي آمنة.
الـ web اليوم ما ينفعش يبقى "مفتوح" — محركات البحث (مثل Google) تعطي أولوية للمواقع المؤمنة، والمتصفحات تحذر المستخدم. لذلك تحويل الموقع لـHTTPS مش رفاهية، ده ضرورة سواء لحماية المستخدم أو لحماية سمعة موقعك.
لو المقالة عجباك — شاركها، وسيبيلنا تعليق بسؤال واحد واجهك عن HTTPS وهنرد بسرعة. وسجّل في الدورة لو حابب نفصّل أكواد إعداد السيرفر خطوة بخطوة — العرض خاص لقرّاء المقال! 🎯
