RaazNet

رازنتبتا

دانشنامه
در این صفحه

فناوری‌های ردیابی وب و امنیت مرورگر

راهنمای جامع برای امن‌سازی مرورگرهای وب در برابر نظارت دولتی ایران، با تمرکز بر چشم‌انداز مرورگرها پس از سال ۲۰۲۵ (مانیفست V3)، دور زدن فیلترینگ SNI با استفاده از ECH، و مقابله با روش‌های ردیابی پیشرفته.

Time15 minutes

فناوری‌های ردیابی وب و امنیت مرورگر

مرورگر وب تنها ابزاری برای دسترسی به اطلاعات نیست؛ بلکه میدان اصلی نبرد میان کاربران و مکانیزم‌های نظارتی دولتی است. «شبکه ملی اطلاعات» (شما/NIN) در جمهوری اسلامی از روش‌هایی نظیر بازرسی عمیق بسته‌ها (DPI)، مسموم‌سازی DNS و همبستگی ترافیک پیشرفته برای شناسایی، ردیابی و مسدود کردن کاربران استفاده می‌کند.

این راهنما جزئیات چگونگی امن‌سازی (Hardening) تجربه مرورگری، محافظت در برابر تکنیک‌های مدرن ردیابی، و عبور از تهدیدات خاص معماری اینترنت ایران در سال ۲۰۲۶ را شرح می‌دهد.

۱. چشم‌انداز مرورگرها در سال ۲۰۲۶: تغییر بزرگ «مانیفست V3»

از اواخر سال ۲۰۲۵، تغییر بزرگی در معماری مرورگرها رخ داد که به Manifest V3 شناخته می‌شود. این تغییر که توسط گوگل اعمال شد، قابلیت‌های افزونه‌های حریم خصوصی (مانند مسدودکننده‌های تبلیغات) را در کروم و مرورگرهای مبتنی بر کرومیوم به شدت محدود کرد.

پیامدها برای کاربران ایرانی: افزونه‌هایی مانند uBlock Origin که برای مسدود کردن اسکریپت‌های ردیاب و بدافزارهای جاسوسی دولتی حیاتی هستند، دیگر با تمام ظرفیت خود روی گوگل کروم کار نمی‌کنند. آن‌ها نمی‌توانند درخواست‌های شبکه را به همان کارآمدی سابق فیلتر کنند.

🚫 مرورگرهایی که باید از آن‌ها اجتناب کنید

  • گوگل کروم (Chrome) / مایکروسافت اج (Edge): به دلیل محدودیت‌های Manifest V3 و تله‌متری سنگین (ارسال گزارش داده‌ها به شرکت‌های آمریکایی).
  • مرورگرهای بومی ایرانی: مرورگرهایی که توسط دولت تبلیغ می‌شوند (مانند سلام، ذره‌بین یا نسخه‌های سفارشی دیگر) اغلب حاوی گواهی‌های ریشه‌ای (Root Certificates) هستند که به دولت اجازه می‌دهد ترافیک HTTPS شما را رمزگشایی کند. هرگز از این‌ها استفاده نکنید.
  • اُپرا (Opera): متعلق به کنسرسیومی چینی با رویه‌های حریم خصوصی بحث‌برانگیز.

✅ مرورگرهای پیشنهادی

مرورگربهترین گزینه برایتوضیحات
Tor Browserناشناس ماندن و دور زدن فیلترینگاستاندارد طلایی امنیت. ترافیک را از طریق شبکه Tor عبور می‌دهد. برای فعالیت‌های پرخطر حیاتی است. در ایران، احتمالاً برای اتصال نیاز به تنظیم یک پل (Bridge) (مانند Snowflake) خواهید داشت.
Mullvad Browserحریم خصوصی و ضد اثرانگشت‌نگاریمبتنی بر فایرفاکس. توسعه‌یافته توسط پروژه Tor و Mullvad. محافظت‌های ضد اثرانگشت‌نگاری Tor را بدون استفاده از شبکه Tor فراهم می‌کند (سریع‌تر است، اما نیاز به یک VPN قابل اعتماد دارد).
Firefox (ایمن‌سازی شده)استفاده روزمرهتنها موتور مرورگر اصلی که هنوز به طور کامل از افزونه‌های قدرتمند حریم خصوصی پشتیبانی می‌کند. بسیار قابل شخصی‌سازی است.
Braveسهولت استفادهمبتنی بر کرومیوم است اما دارای سیستم مسدودسازی داخلی (نوشته شده با Rust) است که محدودیت‌های Manifest V3 را دور می‌زند. برای کاربران مبتدی خوب است، اما برای امنیت عملیاتی (OpSec) بهتر، گزینه‌های "Brave Rewards" و ویژگی‌های کریپتو را غیرفعال کنید.

۲. دفاع در سطح شبکه: ECH و DNS

سیستم فیلترینگ ایران به طور تاریخی بر بازرسی SNI (نشانگر نام سرور) تکیه داشته است؛ بخشی از دست‌تکان‌دهی (Handshake) اتصال که نشان می‌دهد شما در حال بازدید از چه وب‌سایتی هستید، حتی اگر محتوا رمزگذاری شده باشد.

۱. سلامِ کلاینت رمزگذاری‌شده (ECH)

تکنولوژی ECH استانداردی در سال ۲۰۲۶ است که جایگزین ESNI قدیمی شده است. این فناوری SNI را رمزگذاری می‌کند و مانع از آن می‌شود که ISP (و شرکت ارتباطات زیرساخت ایران) متوجه شود شما دقیقاً از چه دامنه‌ای روی یک CDN (مانند Cloudflare) بازدید می‌کنید.

  • وضعیت: در فایرفاکس (نسخه ۱۱۹ به بالا) و اکثر مرورگرهای مدرن به صورت پیش‌فرض فعال است.
  • نکته مهم: عملکرد ECH برای دریافت کلیدهای رمزگذاری به DNS وابسته است. اگر DNS شما رمزگذاری نشده باشد، سانسورچی می‌تواند درخواست ECH را مسدود کند.

۲. دی‌ان‌اس روی HTTPS (DoH)

برای اینکه ECH کار کند و مقصد شما از دید ISP پنهان بماند، باید درخواست‌های DNS خود را رمزگذاری کنید.

  • شرایط ایران: ارائه‌دهندگان استاندارد DoH (مانند 1.1.1.1 یا 8.8.8.8) اغلب توسط فایروال بزرگ ایران مسدود می‌شوند.
  • راه‌حل: ۱. استفاده از VPN معتبر: یک VPN خوب تمام ترافیک، از جمله DNS را تونل کرده و در لایه‌ای از رمزگذاری می‌پوشاند که ISP قادر به خواندن آن نیست. ۲. DoH سفارشی: اگر از VPN استفاده نمی‌کنید، ارائه‌دهندگان DoH «مبهم‌سازی شده» (Obfuscated) یا کمتر شناخته‌شده را در تنظیمات مرورگر پیکربندی کنید.

⚠️ هشدار: هرگز از تنظیمات DNS «پیش‌فرض» (Default) یا «خودکار» در ایران استفاده نکنید، زیرا این تنظیمات اغلب به DNS سرویس‌دهنده اینترنت (همراه اول، ایرانسل، مخابرات) برمی‌گردند که تمام درخواست‌ها را ثبت کرده و سایت‌های ممنوعه را به صفحات پیوند دولتی هدایت می‌کنند.

۳. اثرانگشت‌نگاری دیجیتال (Fingerprinting) و ردیابی

حتی اگر آدرس IP خود را با VPN پنهان کنید، وب‌سایت‌ها (و عوامل دولتی که ترافیک را رصد می‌کنند) می‌توانند از طریق اثرانگشت مرورگر شما را شناسایی کنند.

اثرانگشت‌نگاری چگونه کار می‌کند

اسکریپت‌ها نقاط داده‌ای را درباره دستگاه شما جمع‌آوری می‌کنند تا یک شناسه منحصر‌به‌فرد (Hash) بسازند:

  • Canvas/WebGL: نحوه رندر کردن اشکال خاص توسط کارت گرافیک شما.
  • Audio Context: تفاوت‌های جزئی و منحصر‌به‌فرد در سخت‌افزار صوتی شما.
  • فونت‌ها: لیست دقیق فونت‌های نصب شده روی سیستم‌عامل شما.
  • رزولوشن صفحه و اندازه پنجره.

اقدامات متقابل

۱. مقاومت در برابر اثرانگشت‌نگاری (RFP): فایرفاکس یک تنظیم داخلی (privacy.resistFingerprinting) دارد که این مقادیر را استانداردسازی می‌کند (مثلاً گزارش یک اندازه پنجره عمومی). مرورگرهای Mullvad و Tor این قابلیت را به‌صورت پیش‌فرض فعال دارند. ۲. پنجره‌ها را تمام‌صفحه (Maximize) نکنید: تمام‌صفحه کردن پنجره مرورگر، رزولوشن دقیق مانیتور شما را فاش می‌کند. مرورگر Tor در این باره هشدار می‌دهد. ۳. تنظیمات زبان: در هدرهای مرورگر تا حد امکان به انگلیسی (US) پایبند باشید. ارسال هدر درخواست زبان fa-IR (فارسی) در حالی که از IP وی‌پی‌ان آلمان متصل هستید، یک ناهنجاری مشکوک است که شما را متمایز می‌کند.

۴. پیکربندی حیاتی و افزونه‌ها

برای امن‌سازی فایرفاکس (یا فورک‌های آن) در محیط اینترنت ایران:

۱. تنظیمات ضروری

  • حالت فقط HTTPS (HTTPS-Only Mode): در تمام پنجره‌ها فعال کنید. این کار مرورگر را مجبور می‌کند هر اتصالی که رمزگذاری شده نیست را قطع کند و از حملات "SSL Stripping" که توسط واسطه‌ها استفاده می‌شود، جلوگیری می‌کند.
  • محافظت در برابر ردیابی پیشرفته (Enhanced Tracking Protection): روی حالت Strict (سخت‌گیرانه) تنظیم کنید.

۲. افزونه‌های اجباری

  • uBlock Origin: از "AdBlock Plus" استفاده نکنید. uBlock Origin یک مسدودکننده محتوای وسیع‌الطیف است.
    • اقدام: به تنظیمات (Settings) > لیست‌های فیلتر (Filter lists) بروید > گزینه‌های "Malware domains" و لیست‌های منطقه‌ای را فعال کنید (در استفاده از لیست‌های فارسی دقت کنید، مگر اینکه تایید شده باشند، زیرا برخی ممکن است قدیمی باشند).
    • چرا: این افزونه ردیاب‌های شخص ثالث، ماینرهای ارز دیجیتال و اسکریپت‌های مخربی که اغلب در صفحات HTTP ناامن تزریق می‌شوند را مسدود می‌کند.
  • Multi-Account Containers (مخصوص فایرفاکس): به شما اجازه می‌دهد هویت‌ها را ایزوله کنید. می‌توانید در یک کانتینر وارد حساب گوگل شوید و در کانتینر دیگر اخبار بخوانید؛ بدین ترتیب گوگل نمی‌تواند این فعالیت‌ها را به هم مرتبط کند.

۳. افزونه‌هایی که باید اجتناب کنید

  • افزونه‌های VPN رایگان: اکثر افزونه‌های "Free VPN" در فروشگاه‌های کروم/فایرفاکس در واقع عملیات جمع‌آوری داده هستند.
  • درخواست‌های "Do Not Track": این‌ها سیگنال‌های داوطلبانه‌ای هستند که ردیاب‌ها آن‌ها را نادیده می‌گیرند. به آن‌ها تکیه نکنید.

۵. تهدید خاص ایران: حمله «ریشه جعلی» (Fake Root)

دولت ایران پیش از این تلاش کرده است با صدور گواهی‌های SSL جعلی یا مجبور کردن کاربران به نصب گواهی‌های ریشه «ملی» برای دسترسی به سایت‌های بانکی یا دانشگاهی، امنیت کاربران را به خطر بیندازد.

خطر: اگر یک گواهی ریشه (CA) دولتی را روی دستگاه خود نصب کنید، دولت می‌تواند حمله مرد میانی (MitM) انجام دهد. آن‌ها می‌توانند ترافیک HTTPS شما (شامل سیگنال، جیمیل و تلگرام وب) را بدون اینکه مرورگر هشداری بدهد، رمزگشایی کنند.

استراتژی دفاعی:

۱. هرگز گواهی‌نامه‌ای که با هدف «بهبود دسترسی» یا «امنیت بانکی» از طریق کانال‌های تلگرامی یا پیامک ارسال می‌شود را نصب نکنید. ۲. بررسی گواهی‌ها: اگر سایتی مثل جیمیل مشکوک به نظر می‌رسد یا کند بارگذاری می‌شود، روی آیکون قفل (Padlock) کلیک کنید > Connection Secure > More Information. اطمینان حاصل کنید که فیلد "Verified by" نام "Google Trust Services" (یا صادرکننده معتبر مشابه) را نشان می‌دهد، نه یک نهاد ناشناخته ایرانی. ۳. تفکیک مرورگرها: اگر مجبور هستید برای دسترسی به دانشگاه یا بانک از یک گواهی دولتی استفاده کنید: - از یک مرورگر کاملاً جداگانه (مثلاً نسخه پرتابل Brave) فقط برای آن کار خاص استفاده کنید. - هرگز در آن مرورگر آلوده وارد شبکه‌های اجتماعی یا ایمیل خود نشوید.

۶. ملاحظات مرورگری در موبایل

امنیت موبایل بسیار حیاتی است چرا که گوشی‌های هوشمند نقطه اصلی دسترسی در ایران هستند.

  • اندروید (Android):
    • Firefox برای اندروید: از uBlock Origin پشتیبانی می‌کند (برخلاف کروم اندروید). این مرورگر توصیه شده برای موبایل است.
    • Mull Browser: یک فورکِ امن‌سازی شده از فایرفاکس برای اندروید که در F-Droid موجود است.
  • آی‌او‌اس (iOS):
    • به دلیل محدودیت‌های اپل، تمام مرورگرها از موتور WebKit استفاده می‌کنند. Onion Browser (تایید شده توسط پروژه Tor) یا Brave انتخاب‌های مناسبی هستند، اما به اندازه نسخه‌های دسکتاپ در برابر اثرانگشت‌نگاری مقاوم نیستند.

۷. بهداشت پس از مرورگری

  • پاک‌سازی تاریخچه: در موقعیت‌های پرخطر (مانند عبور از مرزها/ایست بازرسی)، تاریخچه مرورگر می‌تواند سند جرم باشد.
    • فایرفاکس را طوری تنظیم کنید که "Delete cookies and site data when Firefox is closed" (حذف کوکی‌ها و داده‌های سایت هنگام بستن فایرفاکس) انجام شود.
    • بهتر است برای تمام تحقیقات حساس از حالت خصوصی/ناشناس (Private/Incognito Mode) استفاده کنید.
  • دانلودها: آگاه باشید که پوشه "Downloads" حتی پس از پاک کردن تاریخچه مرورگر، فایل‌ها را نگه می‌دارد. فایل‌های PDF یا تصاویر حساس را بلافاصله پس از استفاده به‌طور امن حذف (Shred) کنید.

موضوعات مرتبط:

  • [[Internet_Architecture_and_Censorship_Mechanisms]]
  • [[Secure_Data_Transmission_and_IP_Privacy]]
منبع:
Edit

آیا این مقاله مفید بود؟

بازخورد شما به بهبود محتوای ویکی کمک می‌کند.