المصادقة على الطلبات باستخدام بروتوكول Web Bot Auth (إصدار تجريبي)

تختبر Google استخدام مسودة الإنترنت Web Bot Auth الصادرة عن مجموعة مهندسي شبكة الإنترنت (IETF)، وهي بروتوكول تشفير جديد يساعد المواقع الإلكترونية في التأكّد من أنّ برامج التتبّع غير مزيفة. نحن نختبر البروتوكول باستخدام بعض برامج وكلاء الذكاء الاصطناعي المستضافة على بنية Google الأساسية. يوضّح هذا الدليل ماهية بروتوكول Web Bot Auth وحالته الحالية وكيفية تنفيذ عملية التحقّق في المرحلة التجريبية.

ما هو بروتوكول Web Bot Auth؟

‫Web Bot Auth هو بروتوكول تشفيري تجريبي يُستخدم للمصادقة على الطلبات التي ترسلها برامج التتبّع. فبدلاً من الاعتماد فقط على العناوين وعناوين IP التي تُبلغ عنها برامج الوكلاء ذاتيًا، يتيح Web Bot Auth لهذه البرامج توقيع طلباتها بشكل مشفّر.

يساعد بروتوكول Web Bot Auth مالكي المواقع الإلكترونية في رصد الزيارات المبرمَجة على مواقعهم الإلكترونية، ويمنع الجهات الأخرى من محاولة انتحال هوية برامج وكلاء موثوق بها. يمكن أن يوفّر بروتوكول Web Bot Auth المزايا التالية:

الموثوقية التشفيرية: يمكنك الاستغناء عن العناوين التي يسهل تزييفها والاعتماد على هوية تم التحقّق منها مع فصل هوية الوكيل عن عناوين IP.
إمكانية تتبّع البيانات بشكل أفضل: يمكنك الحصول على إحصاءات أوضح حول كيفية تفاعل برامج الوكلاء مع المحتوى.
مواكبة التغييرات المستقبلية: يساهم هذا البروتوكول في إنشاء بيئة ويب تتيح لموفّري برامج الوكلاء والمواقع الإلكترونية بناء ثقة متبادلة واتخاذ قرارات مدروسة بشأن الوصول إلى المحتوى.

الحالة الحالية لبروتوكول Web Bot Auth: إصدار تجريبي

إنّ تنفيذ بروتوكول Web Bot Auth في Google لا يزال حاليًا في المرحلة التجريبية للأسباب التالية:

بروتوكول Web Bot Auth هو حاليًا مسودة مواصفات طوّرها فريق عمل WBA التابع لمجموعة مهندسي شبكة الإنترنت (IETF)، وقد تتغيّر بمرور الوقت. تواصل Google مشاركتها الفعّالة في جهود فريق العمل أثناء تطوّر البروتوكول.
في الوقت الحالي، المعيار السائد هو التحقّق من برامج التتبّع استنادًا إلى وكيل المستخدم وعنوان IP، وقد تم على مدار عقود إنشاء الأنظمة والسياسات وأفضل الممارسات وفقًا لهذا المعيار. يتطلّب تغيير هذه العناصر وقتًا وحذرًا شديدًا، ونحن الآن في مرحلة مبكرة، وما زلنا نقيّم الخصائص الفنية للبروتوكول وتأثيراته المحتملة على المنظومة المتكاملة.

ما معنى ذلك؟

تعني الحالة "إصدار تجريبي" ما يلي:

لا تستخدم بعض برامج وكلاء المستخدم التابعة لـ Google بروتوكول Web Bot Auth.
لا توقّع Google حاليًا كل طلب صادر من برامج الوكلاء التي تستخدم البروتوكول.
ننصحك بمواصلة الاعتماد على عناوين IP وعمليات البحث العكسي عن نظام أسماء النطاقات وسلاسل وكيل المستخدم، بالإضافة إلى بروتوكول Web Bot Auth، بينما نعمل تدريجيًا على طرح ميزة الزيارات الموقَّعة.

بالنسبة إلى المستخدمين المهتمين بالمشاركة خلال المرحلة التجريبية، نقدّم إرشادات حول كيفية التعرّف على برامج وكلاء ذكاء Google الاصطناعي وإضافتها إلى القائمة المسموح بها.

كيفية إدراج وكلاء ذكاء Google الاصطناعي في القائمة المسموح بها باستخدام Web Bot Auth

إذا كنت مطوّرًا أو مشرف نظام وتريد إضافة برامج وكلاء الذكاء الاصطناعي التجريبية إلى القائمة المسموح بها، يمكنك تنفيذ عملية التحقّق من خلال بروتوكول Web Bot Auth:

باستخدام منتج أو خدمة متوافقَين مع بروتوكول Web Bot Auth
عن طريق التحقّق من مصدر الطلبات بنفسك

استخدام منتج أو خدمة متوافقَين مع بروتوكول Web Both Auth

إنّ خدمات رصد برامج التتبُّع وشبكات توصيل المحتوى (CDN) وجدران حماية تطبيقات الويب (WAF) الرئيسية متوافقة مع بروتوكول Web Bot Auth. توفّر بعض خدمات البنية الأساسية طرقًا للبحث عن وكيل المستخدم Google-Agent وإضافته إلى القائمة المسموح بها. يُرجى الرجوع إلى مقدّم الخدمة لمعرفة الخطوات الدقيقة. يتم توقيع مجموعة فرعية من الطلبات التي يرسلها Google-Agent باستخدام بروتوكول Web Bot Auth، وفي هذه الحالات، يتم المصادقة على الطلبات باعتبارها صادرة من https://agent.bot.goog. إذا كان مقدّم الخدمة متوافقًا مع البروتوكول، من المحتمل أن يتحقّق من مصدر الطلبات تلقائيًا.

التحقّق من مصدر الطلبات بنفسك

إذا كنت تريد المصادقة على طلباتنا بنفسك، يمكنك الرجوع إلى مواصفات بنية توقيعات رسائل HTTP للزيارات الآلية وأمثلة على عمليات التنفيذ على GitHub. بشكل عام، تشمل الخطوات الرئيسية للبروتوكول ما يلي:

استرجِع مجموعة المفاتيح العامة الخاصة بالوكيل من https://agent.bot.goog/.well-known/http-message-signatures-directory وخزِّنها مؤقتًا وفقًا للعنوان Cache-Control.
احرص على حذف المفاتيح القديمة المخزّنة مؤقتًا وغير المتاحة في الملف، لأنّها قد تكون منتهية الصلاحية أو مبطَلة.
ستتضمّن الطلبات المشارِكة التي يتم إرسالها إلى الخادم العنوان Signature-Agent لطلب HTTP والذي تم ضبطه على g="https://agent.bot.goog" (يُرجى الانتباه إلى التصنيف g=).
تحقَّق من العنوان Signature وفقًا لـ Signature-Input، باتّباع معيار توقيعات رسائل HTTP‏ (RFC 9421). استخدِم العنوانَين Signature وSignature-Input المصنّفَين على أنّهما g.
احرص على استخدام التحقّق المستنِد إلى عنوان IP، لأنّه لا يتم توقيع جميع الطلبات.

خطوات التحقّق باستخدام بروتوكول Web Bot Auth

بالنسبة إلى الطلبات التي تتطلّب سرعة استجابة عالية، يمكنك عرض الردّ مسبقًا والتحقّق من صحة التوقيع خلال فترة صلاحيته. في هذه الحالة، سيتم تطبيق أي إجراءات تقييدية لازمة بعد إتمام الطلب، ويمكنك تطبيق ذلك على الطلبات المستقبلية الصادرة من الجهة نفسها.

لا تتطابق فترة انتهاء صلاحية التوقيع مع عنوان Cache-Control لمجموعة المفاتيح العامة. احرص على التحقّق منها بشكل منفصل.

الخطوات التالية

يُرجى التواصل مع المستضيف أو مقدّم خدمات الأمان لمعرفة ما إذا كانا يتيحان التحقّق باستخدام Web Bot Auth.
واكِب آخر التعديلات على المواصفات الفنية المقدَّمة من فريق عمل بروتوكول Web Bot Auth.
شارِك في المناقشات في القائمة البريدية التابعة لمجموعة مهندسي شبكة الإنترنت (IETF).
أرسِل ملاحظاتك إلينا من خلال نموذج استطلاع الآراء والتقييم الخاص ببروتوكول Web Bot Auth.