الأمان والخصوصية

عند إنشاء نموذج، يعني ذلك أنّك تعمل على بيانات المستخدمين. يجب أن تحرص على الحفاظ على خصوصية بيانات المستخدمين ونقلها بشكل آمن. لنلقي نظرة على ما يمكن فعله.

كخطوة أولى، تأكد من طلب أقل قدر ممكن من البيانات. لا تطلب بيانات لا تحتاجها، ودائمًا ما تتساءل عما إذا كنت بحاجة إلى جميع البيانات المطلوبة. انخفاض البيانات يعني مخاطر أقل وتكلفة أقل ومسؤولية أقل. بالإضافة إلى ذلك، يؤدي تقليل عدد الحقول في النموذج إلى تقليل تعقيدًا وتسهيل ملؤها وخفض معدّلات التراجع.

استخدِم HTTPS دائمًا، خاصةً مع الصفحات التي تتضمّن نموذجًا. باستخدام HTTPS، يتم تشفير البيانات عند ورودها من الخادم وعند الرجوع إليها.

لنفترض أنك تجلس في مقهى وتستخدم شبكة Wi-Fi عامة. تفتح موقعًا للتجارة الإلكترونية وملأت معلومات بطاقتك الائتمانية لشراء شيء ما. إذا كان الموقع الإلكتروني يستخدم بروتوكول HTTP، يمكن لأي شخص (لديه مهارات لإجراء ذلك) على شبكة Wi-Fi العامة نفسها رؤية معلومات بطاقتك الائتمانية. وإذا كان الموقع الإلكتروني يستخدم بروتوكول HTTPS، يتم تشفير البيانات، وبالتالي حمايتها من أي شخص يحاول الوصول إليها.

على موقعك الإلكتروني، يجب أيضًا التأكّد من إعادة توجيه أي طلبات HTTP إلى HTTPS. يمكنك الاطّلاع على مزيد من المعلومات عن كيفية إعادة توجيه جميع الزيارات إلى HTTPS.

مساعدة المستخدمين في الحفاظ على خصوصية بياناتهم

في الوحدة الأولى، تعرّفت على طريقتين محتملتين لنقل البيانات: استخدام طلب GET واستخدام طلب POST.

من خلال طلب GET، يتم تضمين بيانات النموذج في صورة سلسلة طلب بحث في عنوان URL للطلب. إذا أرسلت نموذجًا يستخدم طلب GET، سيضيف المتصفّح عنوان URL للطلب، بما في ذلك بيانات النموذج إلى سجلّ التصفّح. هذه الميزة ملائمة إذا كنت تريد البحث عن عمليات إرسال النماذج السابقة، على سبيل المثال، عن نموذج بحث. ليس رائعًا على الإطلاق، إذا تم إرسال بيانات حساسة، وكان بإمكان كل من لديه إمكانية الوصول إلى سجلّ المتصفح أو الشبكة المحلية الاطّلاع على هذه المعلومات.

استخدِم طلبات POST لكل نموذج قد يتم فيه إرسال بيانات شخصية أو حساسة بطريقة أخرى. وبهذه الطريقة، تكون البيانات مرئية فقط للنص البرمجي الخلفي الذي يعالجها.

ماذا عن حفظ البيانات الشخصية ومعالجتها مباشرةً في المتصفح؟ يمكنك استخدام مساحة تخزين البرامج، على سبيل المثال، localStorage لتخزين البيانات الشخصية في المتصفّح. فيما يتعلق بالخصوصية، هذا ليس مثاليًا. ومرة أخرى، يمكن لجميع المستخدمين الذين لديهم الإذن بالوصول إلى المتصفّح قراءة هذه المعلومات. يجب عليك تخزين القيم المشفرة للبيانات الشخصية فقط.

التأكّد من أنّه يمكن للمستخدمين الاشتراك وتسجيل الدخول بأمان

تُعد مصادقة حساب المستخدم مشكلة معقدة من حيث الخصوصية والأمان. قد يكون من الأفضل استخدام موفِّر هوية تابع لجهة خارجية بدلاً من إنشاء نظام مصادقة آمن خاص بك.

يمكنك الاطّلاع على مزيد من المعلومات حول أفضل الممارسات لمصادقة الحساب وإدارة كلمات المرور.

مساعدة المستخدمين في الوصول إلى بياناتهم الشخصية

وضعت العديد من المناطق قوانين ولوائح بشأن حماية البيانات وخصوصيتها، بما في ذلك قانون خصوصية المستهلك في كاليفورنيا (CCPA) في كاليفورنيا وقانون حماية البيانات الشخصية (PDPA) في الهند. يجب أن يتّبع كل موقع إلكتروني متوفّر في الاتحاد الأوروبي اللائحة العامة لحماية البيانات (GDPR)، حتى إذا لم يكن الموقع الإلكتروني في الاتحاد الأوروبي.

تضع اللائحة العامة لحماية البيانات (GDPR) إرشادات حول جمع المعلومات الشخصية ومعالجتها من الأشخاص الذين يعيشون في الاتحاد الأوروبي. الموافقة مطلوبة لمعالجة البيانات الشخصية، ويمكن للمستخدمين طلب المعلومات الشخصية التي تخزنها في أي وقت، وعليك الإعلان رسميًا عن تسرُّب البيانات. أمر جيد للمستخدم، حيث يساعد ذلك في ضمان احترام خصوصيته. مزيد من المعلومات حول اللائحة العامة لحماية البيانات

تأكد من أن المستخدمين يعرفون كيف تخطط لمعالجة البيانات الشخصية. الثقة هي الأساس. يجب أن يتمكن المستخدمون دائمًا من الوصول إلى جميع البيانات التي حفظتها لهم وتعديلها وحذفها.

التأكّد من إمكانية تعديل المستخدمين لبياناتهم الشخصية

سهِّل على المستخدمين تحديث بياناتهم الشخصية، بما في ذلك كلمات المرور وعناوين البريد الإلكتروني وأسماء المستخدمين. أبلغ المستخدمين بالتغييرات التي تطرأ على بياناتهم الشخصية المخزنة، وتأكد من إمكانية إبطال المستخدمين للتغييرات. على سبيل المثال، يمكنك إرسال رسالة إلكترونية إلى عنوان البريد الإلكتروني السابق والجديد بعد أن يغيّر المستخدمون عناوين بريدهم الإلكتروني.

سهِّل على المستخدمين حذف حساباتهم، بما في ذلك جميع البيانات المرتبطة بها، ووفّر إمكانية تنزيل البيانات متى كان ذلك مناسبًا. يُعد حذف الحساب من المتطلبات القانونية في بعض المناطق.

طلب خطوة مصادقة إضافية، على سبيل المثال، إعادة إدخال كلمة المرور الحالية، لعرض المعلومات الشخصية على موقعك أو تغييرها.

اطّلِع على المزيد من المعلومات: أفضل ممارسات خصوصية تطبيقات الويب

التأكد من أن جميع البيانات في حالة جيدة

في وحدة سابقة، تعرفت على التحقق من الصحة على الواجهة الأمامية. يُعد التحقُّق من الواجهة الأمامية مهمًا، ولكن قد يظل بإمكان المستخدمين إرسال بيانات غير صالحة. كخطوة تالية، يجب عليك أيضًا التحقق من صحة البيانات في الخلفية قبل حفظ البيانات في قاعدة البيانات لديك. ويضمن ذلك عدم حفظ أي بيانات غير صالحة في قاعدة البيانات.

يساعد التحقق من الصحة على التأكد من أن تنسيق البيانات صالح، ولكن لا يزال يجب أن لا تثق في البيانات التي يدخلها المستخدمون. كيف يمكنك إخراج البيانات بأمان؟ لمنع النصوص البرمجية على المواقع الإلكترونية (XSS)، والتأكّد من أمان جميع البيانات لتضمينها في HTML، يجب تصحيح البيانات قبل الإخراج.

تعرَّف على مزيد من المعلومات حول تعقيم البيانات قبل إخراج واستخدِم Sanitizer API متى أمكن ذلك.

التأكد من أن جميع الإرسالات مصدرها أشخاص حقيقيون

للمساعدة في حماية بياناتك، تتوفّر لك خيارات متعدّدة لمنع إرسال الرسائل غير المرغوب فيها من برامج التتبّع.

الخيار الأول هو استخدام خدمة مثل reCAPTCHA للتمييز بين المستخدمين الحقيقيين وبرامج التتبُّع. ويتطلب ذلك منك تضمين مقتطف JavaScript في صفحتك، وإضافة المزيد من السمات إلى زر إرسال.

تُجري reCAPTCHA عمليات تحقق مختلفة لمعرفة ما إذا كنت شخصًا حقيقيًا. على سبيل المثال، قد يطلب منك تحديد الصور. لا يمكن للبرامج الآلية، مثل برامج التتبُّع، مواجهة هذه التحديات ولا يمكنها إرسال النموذج.

مصيدة العسل

هناك خيار آخر وهو استخدام ما يُعرف باسم 'honey الساعة': حقل نموذج مخفي مرئيًا. لن يرى البشر حقل مصيدة العسل، لكن الروبوتات ستملأه. في الخلفية، يمكن للنص البرمجي للمعالجة التحقق من اكتمال الحقل. إذا كان الأمر كذلك، من المحتمل أن تكون المشاركة المُرسَلة من برنامج تتبُّع، ويمكنك تجاهلها.

تتوفر أيضًا خدمات مثل Akismet التي يمكنها مساعدتك في الحماية من المحتوى غير المرغوب فيه. يعمل فلتر Akismet من خلال دمج المعلومات حول المحتوى غير المرغوب فيه الذي تم التقاطه على كل المواقع الإلكترونية المشارِكة، ثم استخدام قواعد المحتوى غير المرغوب فيه هذه لحظر المحتوى غير المرغوب فيه في المستقبل. يظهر Akismet بشفافية للمستخدم، ويلتقط معظم المحتوى غير المرغوب فيه.

التحقق من فهمك

اختبر معلوماتك حول الأمان والخصوصية

ما هي الطريقة المفضّلة لنقل البيانات الشخصية باستخدام النماذج؟

طلب GET.
حمامة حاملة.
HTTPS
طلب POST.

كيف يمكنك منع المحتوى غير المرغوب فيه؟

خدمات المحتوى غير المرغوب فيه:
حقل نموذج Honey الساعة
اختبارات CAPTCHA
تقدم فقط الأشكال النباتية.

المراجع