Defaults.Exposed

Defaults.Exposed › التقارير

قاعة مشاهير الإعدادات الخاطئة: أغرب سجلات الأمان على الويب (2026)

نُشر 2026-06-29

الأرقام حتى تاريخ 2026-06-29 · المنهجية v7. بيانات تعداد مجمَّعة عبر 261 مليون نطاق مُقيَّم. كل رقم أدناه هو نمط حقيقي ومتكرر — وليس حالة فردية. انظر كيف نُقيِّم.

معظم إخفاقات الأمان مملة: إعداد تُرك دون تفعيل. وقليل منها مضحك بحق — المعادل الرقمي لتسليم المبنى ولافتة «أدخل اسم المستأجر» ما زالت في الواجهة. قمنا بتقييم 261 مليون نطاق؛ وإليكم الأرقام القياسية التي جعلتنا ننظر مرتين.

1. الشهادة التي لم يُعِد أحد تسميتها

عندما تُنشئ شهادة TLS باستخدام مطالبات OpenSSL الافتراضية وتضغط ببساطة على Enter، يصبح اسم المؤسسة عنصرًا نائبًا. من المفترض استبدال هذه العناصر النائبة قبل الإطلاق المباشر. لكنها لم تُستبدل:

اسم «صادرة عن» على الشهادة المباشرةالمواقع
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» هي القيمة الافتراضية الحرفية في التكوين النموذجي لـ OpenSSL — و**244,468** موقعًا عامًا يقدِّم شهادة مختومة بها. وعبر جميع أسماء العناصر النائبة والأسماء الافتراضية الواضحة، لم يُغيِّر 685,732 موقعًا اللافتة قط. وكل واحد منها موقَّع ذاتيًا أيضًا، لذا يتلقى الزوار تحذيرًا من المتصفح — فهي تقدِّم العنصر النائب والـخطأ معًا.

2. DMARC الضائعة في الترجمة

لا تعمل سياسة DMARC إلا إذا نصَّت بدقة على p=none أو p=quarantine أو p=reject. نشر 48,648 نطاقًا شيئًا آخر — كلمة السياسة مكتوبة خطأً، أو مكتوبة بلغة أخرى تمامًا (تتضمن البيانات الحية صيغًا إسبانية وفرنسية وبرتغالية لكلمة «none»). كانت النية صحيحة؛ لكن الإملاء الدقيق لم يكن كذلك — وتقبل DMARC الكلمة المفتاحية الإنجليزية فقط، لذا فإنها جميعًا توفِّر حماية صفرية. (القائمة الكاملة والحالية مع الأعداد: أكثر أخطاء DMARC الإملائية شيوعًا على الإنترنت.)

3. سجادة الترحيب لـ SPF

مهمة SPF الوحيدة هي تحديد الخوادم التي يُسمح لها بإرسال البريد باسمك. ينهي 36,014 نطاقًا سجلَّه بـ +all — وهو ما يعني العكس تمامًا: «أي خادم على الإنترنت مُخوَّل بالإرسال باسمي.» إنه المعادل الأمني للصق مفتاحك على الباب. وهناك 7,958 نطاقًا آخر تكسر SPF الخاصة بها بصمت بتجاوز حد البحث في DNS البالغ 10 عمليات، مما يُبطلها تمامًا. (المزيد: تقرير سوء تكوين SPF.)

4. تنويه بالذكر: الملايين الموقَّعة ذاتيًا

إلى جانب الأسماء المضحكة، يقدِّم 3,378,080 موقعًا شهادة موقَّعة ذاتيًا — شهادة أصدروها لأنفسهم، وترفضها المتصفحات. عادةً ما يكون جهاز توجيه، أو صندوق اختبار، أو أداة داخلية وُجِّهت بطريق الخطأ نحو الإنترنت العام ولم تحصل قط على شهادة حقيقية.

ما الذي تشترك فيه الحالات المضحكة

كل إدخال هنا له السبب الجذري نفسه للإخفاقات المملة: قيمة افتراضية لم تُمَسّ، خطوة جرى تخطيها، نسخ ولصق لم يكتمل. الويب لا يفشل بشكل درامي — بل يفشل بالقصور الذاتي، عنصرًا نائبًا واحدًا لم تُعَد تسميته في كل مرة. الجانب المشرق: كل واحد من هذه إصلاحٌ يستغرق خمس دقائق.

الأسئلة الشائعة

لماذا تقول شهادات كثيرة «Internet Widgits Pty Ltd»؟ إنه اسم المؤسسة الافتراضي في التكوين النموذجي لـ OpenSSL. عندما يُنشئ أحدهم شهادة ويقبل القيم الافتراضية، ينتهي ذلك العنصر النائب على الشهادة المباشرة. 244,468 موقعًا عامًا لم يُغيِّروه قط.

هل تفعل سياسة DMARC بلغة أخرى أي شيء؟ لا. تتعرف DMARC فقط على الكلمات المفتاحية الدقيقة none وquarantine وreject. السجل الذي تكون فيه كلمة السياسة مكتوبة خطأً أو بلغة أخرى غير صالح ويُتجاهَل — ويظل النطاق قابلًا للانتحال.

ماذا يفعل SPF +all؟ يُخوِّل كل خادم على الإنترنت بإرسال البريد باسم نطاقك — وهو أسوأ من عدم وجود SPF على الإطلاق. 36,014 نطاقًا لديها ذلك، وغالبًا ما يكون عن طريق الخطأ.

هل هذه حالات نادرة وهامشية؟ لا — كل واحدة منها تتراوح بين مئات الآلاف والملايين من النطاقات، وتُكتشَف باستمرار عبر تعداد يشمل 261 مليون نطاق. إنها قيم افتراضية شائعة، وليست حوادث غريبة.

تأكَّد من ألا يكون نطاقك في الإصدار التالي

معظم هذه إصلاحات من سطر واحد. افحص نطاقك بشكل خاص ومجاني — شاهد شهادتك وDMARC وSPF تمامًا كما يراها الإنترنت.

افحص نطاقك → · أخطاء DMARC الإملائية → · تقرير سوء تكوين SPF → · تقرير أخطاء الشهادات → · بيانات مجمَّعة فقط. تُخزَّن البيانات وتُعالَج في الاتحاد الأوروبي.