عمون- كشفت حادثة حديثة مرتبطة بإعدادات أمان حسابات "غوغل" عن ثغرة خطيرة، لكنها غالبًا ما تمر دون انتباه: فشل آليات إنهاء الجلسات (Logout) بشكل كامل.

ففي محاولة لتأمين حساب يُشتبه في اختراقه، قد يضغط المستخدم على خيار "تسجيل الخروج من جميع الأجهزة"، لكن أخطاء في الخادم قد تمنع إغلاق كل الجلسات النشطة، ما يترك الباب مفتوحًا أمام المهاجمين.

هذه المشكلة تحوّل إحدى أهم ميزات الأمان الأساسية إلى نقطة ضعف حرجة، وتكشف عن خلل أعمق في إدارة الجلسات ومعالجة الأخطاء، لا يقتصر على منصة واحدة بعينها، بحسب تقرير نشره موقع "undercodetesting" واطلعت عليه "العربية Business".

وهم تسجيل الخروج الآمن
من الحقائق التقنية غير المعروفة لكثير من المستخدمين أن تغيير كلمة المرور لا يُنهي تلقائيًا الجلسات النشطة.

هذا السلوك مقصود لتفادي إخراج المستخدم من أجهزته الأخرى بشكل مفاجئ، لكنه يخلق نافذة زمنية خطرة، إذ تظل رموز الجلسات (Session Tokens) المسروقة صالحة حتى تنتهي صلاحيتها أو يتم إلغاؤها يدويًا.

المشكلة الحقيقية تبدأ عندما تفشل آلية الإلغاء نفسها.

عندها يعتقد المستخدم أن حسابه أصبح آمنًا، بينما لا يزال المخترق متصلًا.

ما الذي يجب فعله؟
- لا تكتفِ بتغيير كلمة المرور.

- استخدم دائمًا خيار "تسجيل الخروج من جميع الجلسات".

- راجع الأجهزة المتصلة وتأكد يدويًا من إنهاء أي جلسة مشبوهة.

خلل تقني يمكن اختباره
الخطأ الذي ظهر في الحالة الأخيرة – مثل رسالة "400 Malformed Request" أثناء تنفيذ عمليات تسجيل خروج متتالية – يشير إلى ضعف في إدارة الحالة داخل الخادم أو في التعامل مع الطلبات المتكررة.

ويرى خبراء الأمن أن هذا النوع من الأعطال قابل للاختبار، سواء يدويًا أو آليًا، عبر محاولة إلغاء عدد كبير من الجلسات خلال وقت قصير، ومراقبة ما إذا كان النظام يفشل جزئيًا ويترك بعض الجلسات نشطة.

كيف تتحقق من الجلسات النشطة؟
توصي فرق الأمن بإدارة الجلسات بشكل استباقي، خاصة على المنصات الكبرى:

حساب "غوغل":

الدخول إلى إعدادات الأمان، ثم مراجعة الأجهزة المتصلة وتسجيل الخروج من أي جهاز غير معروف.

حسابات "مايكروسوفت":

مراجعة النشاط الأخير وإنهاء أي جلسة مريبة.

هذه الخطوات البسيطة قد تمنع استمرار اختراق لا يشعر به المستخدم.

رسالة للمطورين: تسجيل الخروج ليس ميزة ثانوية
يشدد مختصون على أن زر تسجيل الخروج أداة أمنية حرجة، لا مجرد خيار لتحسين تجربة المستخدم. ففشله يعني عمليًا تمكين الاستيلاء على الحساب.

ومن أبرز التوصيات التقنية:

- اعتماد إلغاء مركزي للجلسات عبر عملية واحدة شاملة.

- ضمان أن تكون عملية تسجيل الخروج من الجميع مؤكدة.

- تحسين رسائل الخطأ، وعدم إخفاء فشل أمني خلف رسالة تقنية عامة.

لماذا الأمر أخطر مما يبدو؟
يرى خبراء أن هذه الحادثة مثال مصغّر على نمط أمني خطير: تغليب السلاسة على اليقين الأمني.

فالنظام يسمح ببدء عملية حماية حرجة، لكنه لا يضمن اكتمالها، ما يمنح المستخدم إحساسًا زائفًا بالأمان.

ومع توسع استخدام المصادقة الثنائية (MFA)، يتجه القراصنة بشكل متزايد إلى سرقة جلسات نشطة بدل كلمات المرور. وهو ما يفتح الباب أمام ما يسميه المختصون: "اختطاف الجلسات 2.0".

في عالم تتصاعد فيه الهجمات الرقمية، لم يعد تغيير كلمة المرور كافيًا. المعركة الحقيقية أصبحت حول السيطرة على الجلسات النشطة، والتأكد من إلغائها بشكل فوري ومؤكد.

زر "تسجيل الخروج" قد يبدو بسيطًا، لكنه في الواقع أحد أخطر خطوط الدفاع. وإذا لم يعمل كما يجب، فكل ما بني فوقه من أمان يصبح محل شك.