معاملات URL المجهولة
لا يحتوي URL دائمًا على معاملات يسهل فهم معناها.
هناك معاملات يسهل تخمين غرض التتبع فيها مثل utm_source وgclid، لكن هناك قيمًا يصعب الحكم عليها بمجرد النظر، مثل id وtoken وcid وsource وref وsession.
عند رؤية معامل مجهول، يكون من الخطر التفكير "لا أعرفه إذن يمكن حذفه" وكذلك "لا أعرفه إذن أتركه كما هو".
المهم في المجهولية هو الفصل بين ما إذا كانت القيمة لازمة لعرض الصفحة، أم للتعرف على المستخدم أو المسار.
تنظم هذه المقالة كيف تقرأ معاملات URL المجهولة وكيف تحكم عليها.
ما هو المعامل المجهول
المعامل المجهول هو قيمة داخل URL يصعب تحديد غرضها من الاسم وحده.
مثل السلسلة الآتية.
sample.test/page?id=123&cid=abc&token=xyz
هنا sample.test سلسلة للتوضيح.
قد يكون id=123 ID مقال. وقد يكون ID منتج. وقد يكون ID مخصصًا لكل مستخدم.
وقد يكون cid=abc ID حملة. أو ID عميل.
وقد يكون token=xyz قيمة قريبة من حق وصول مؤقت أو جلسة.
لا يمكن الحسم من الاسم وحده.
لذلك تعامل مع المعاملات المجهولة على أنها شيء "تخمّن معناه، وتفحص سلوكه، ولا تشاركه إذا لزم الأمر".
فكر بالتصنيف
يسهل الحكم على المعاملات المجهولة إذا قُسمت إلى أنواع.
| النوع | مثال | التعامل |
|---|---|---|
| قيمة لازمة للعرض | id، page، q، category | قد يتغير المحتوى إذا حذفتها |
| قيمة تبدو للتتبع | cid، campaign، source، ref | قد لا تكون ضرورية للمشاركة |
| قيمة تبدو للتعرف الفردي | uid، user، visitor، client | تصبح مؤشرًا قريبًا من المستخدم أو الجهاز |
| قيمة تبدو للمصادقة أو رابط مؤقت | token، session، sid، key | فضّل عدم مشاركتها علنًا |
| قيمة طويلة غير مفهومة | حروف وأرقام عشوائية | تعامل معها بحذر لاحتمال إصدارها بشكل فردي |
هذا التصنيف ليس حكمًا كاملًا.
لكنه أكثر أمانًا من لصق الرابط بلا تفكير.
تعامل بحذر خاص مع قيم مثل token وsession وsid وkey. قد لا تكون URL مشاركة، بل URL مرتبطة بحالة تسجيل دخول أو وصول مؤقت.
تحقق هل يمكن حذفها
المعاملات المجهولة تُفحص عمليًا بحذفها.
لكن إذا فحصتها فقط في المتصفح المعتاد أثناء تسجيل الدخول، قد تحكم خطأ.
| الترتيب | ما تفحصه | السبب |
|---|---|---|
| 1 | انظر إلى اسم المعامل | خمن هل هو أقرب إلى التتبع أو العرض أو المصادقة |
| 2 | احذف قيمة واحدة في كل مرة | افصل أي قيمة لازمة للعرض |
| 3 | افتح في متصفح آخر | قلل أثر وحالة تسجيل الدخول |
| 4 | افتح في حالة تسجيل خروج | تأكد هل URL مرئي للآخرين |
| 5 | إذا بقيت قيمة طويلة غير مفهومة فلا تشارك | لتجنب رابط فردي محتمل |
إذا حذفت كل شيء دفعة واحدة، لن تعرف أي قيمة كانت ضرورية.
الحذف واحدًا واحدًا يجعل الفصل بين القيم اللازمة وغير اللازمة أسهل.
متى تصبح القيمة المجهولة خطرة
لا تكون المعاملات المجهولة مشكلة فقط عندما تكون القيمة نفسها معلومات شخصية مقروءة.
حتى الحروف والأرقام التي تبدو عشوائية قد ترتبط داخليًا بمستخدم محدد أو تسليم أو دعوة أو نقرة أو جلسة.
| الحالة | ما الذي يحدث |
|---|---|
| رابط فردي في البريد | قد يحمل قيمة تبين لمن أُرسل البريد |
| رابط دعوة | قد تُسجل جهة الدعوة أو المدعو |
| رابط محدود النشر | يصبح مرئيًا فقط لمن يعرف URL |
| صفحة بعد شراء أو تسجيل | قد تبقى معلومات قريبة من الطلب أو التسجيل في URL |
| لوحة إدارة أو معاينة | قد تُشارك شاشة ليست للنشر العام |
إذا شاركت هذا النوع من URL عبر حساب مجهول، فقد ينشأ الترابط من جهة URL حتى لو أخفيت الشبكة.
و لا يحذفان المعرّفات الموجودة داخل URL.
علامات على وجوب عدم المشاركة
في بعض المعاملات المجهولة، ينبغي تجنب المشاركة قبل التفكير في الحذف.
في الحالات الآتية، ابحث عن صفحة عامة أو URL آخر من زر مشاركة رسمي بدل محاولة تنسيق الرابط قسرًا.
| العلامة | السبب |
|---|---|
| يحتوي token أو session أو sid | قد يكون قريبًا من حالة مؤقتة أو مصادقة |
| URL طويل جدًا | قد يحتوي الكثير من الحالات الفردية أو معلومات التتبع |
| لا يفتح إلا أثناء تسجيل الدخول | قد يكون صفحة شخصية لا يراها الآخرون |
| توجد كلمات تشير إلى الإدارة أو التحرير أو المعاينة | قد لا يكون URL للنشر العام |
| الحذف يغير المحتوى كثيرًا | القيمة مرتبطة بقوة بمحتوى الصفحة |
في المجهولية، من المهم ألا تعامل المجهول كأنه آمن.
"لا أفهمه جيدًا، لكنه غالبًا لا مشكلة" حكم خطر.
سوء الفهم الشائع
توجد تصورات خاطئة شائعة حول المعاملات المجهولة.
أولها أن "القيمة العشوائية من الحروف والأرقام لا معنى لها".
في الواقع، القيم التي تبدو عشوائية غالبًا ما تُستخدم داخليًا كمعرّفات فردية.
والثاني أن "المشكلة غير موجودة ما دام اسمي ليس في الرابط".
المشكلة في المجهولية ليست الاسم فقط. الرابط الصادر بشكل فردي، وID تسليم البريد، وID الدعوة، وID الجلسة ترتبط بسجلات الخدمة.
والثالث أن "تقصير URL يجعله آمنًا".
الرابط المختصر يقصر الشكل فقط. إذا بقيت معاملات مجهولة في وجهته بعد التوسيع، فالمشكلة لم تختف.
حكم عملي
عند رؤية معامل مجهول، احكم بهذه الطريقة.
- افحص هل تبدو القيمة لازمة للعرض
- اجعل قيم التتبع أو الإحالة أو الحملة مرشحة للحذف
- فضّل عدم مشاركة قيم مثل token وsession وsid وkey
- افتح الرابط بعد الحذف في متصفح آخر
- إذا بقيت قيمة مجهولة، ابحث عن URL مشاركة رسمي
قد يبدو هذا الحكم متعبًا.
لكن URL الذي تشاركه باسم مجهول هو جزء من متن المنشور.
إذا كنت تعيد قراءة النص، فيجب أن تعيد قراءة URL أيضًا.
خلاصة
معامل URL المجهول هو قيمة داخل URL لا يمكن تحديد غرضها من الاسم وحده.
قيم مثل id وcid وref وtoken وsession تحتاج إلى فحص هل تتعلق بعرض الصفحة أو التتبع أو التعرف الفردي أو المصادقة.
لا تحكم فورًا بأن القيمة المجهولة يمكن حذفها أو تركها كما هي.
احذفها واحدة واحدة، وافحصها في متصفح آخر أو في حالة تسجيل خروج، وقلل القيم غير الضرورية للمشاركة.
خصوصًا عند وجود قيم مثل token وsession وsid وkey، فضّل عدم المشاركة.
قد ترتبط القيم الصغيرة الباقية في URL بسجلات الخدمة ووقت الوصول.
في المجهولية، المهم ألا تترك القيم غير المفهومة بلا فحص.