مكافحة التصيد عبر QR على جانب المُصدِر. إقامة البيانات على جانب التخزين.
كل رابط Pro يمر عبر سبع طبقات لمكافحة التصيد عند الإصدار، وعند كل تغيير للوجهة، وعلى جدول متجدد. سجل المسح يحتوي على الدولة وفئة الجهاز فقط، دون IP أو user agent أو cookie أو ملف سلوكي يمكن تسريبه. D1 أحادية المنطقة متاحة لخطط Agency وCustom Enterprise.
البيانات التي نجمعها
كل بايت يصل إلى خوادمنا يقع في أحد أربعة أقسام:
بيانات الحساب
البريد الإلكتروني، طبقة الخطة، حالة الخطة، معرفات Stripe للعميل والاشتراك، اسم الفريق الاختياري وتسمية مساحة العمل. هذا كل شيء. لا هاتف، لا عنوان (عنوان الفوترة يبقى في Stripe)، لا ملف سلوكي.
بيانات الرمز
URL الوجهة، shortcode مكوّن من 7 أحرف Base58، تسمية ووسوم تحددها، تصميم QR اختياري (ألوان / شعار / إطار)، بوابة كلمة مرور اختيارية، جدولة اختيارية. مملوكة لك وقابلة للتصدير كـ CSV في أي وقت.
بيانات المسح
مجموعة يوم UTC + الدولة (من CF-IPCountry) + فئة الجهاز (mobile / tablet / desktop / unknown). يُتخلص من User-Agent الخام فوراً بعد التصنيف. IP لا يدخل قاعدة البيانات أبداً. مخزَّن في KV لمسار إعادة التوجيه السريع، ومجمَّع في D1 عبر ctx.waitUntil. مجاميع الدول التي تقل عن 5 عمليات مسح تُدمج في «Other» لمنع إعادة التعريف.
بيانات التدقيق والفوترة
سجل إضافة فقط للتعديلات (من فعل ماذا، متى، في أي نطاق) مع احتفاظ 180 يوماً. أحداث Stripe webhook مُزالة التكرار لضمان idempotency، دون PII للعميل خارج معرف Stripe. سجل طلبات GDPR (تصدير / حذف / استعادة) محتفَظ به بعد حذف الحساب دليلاً على الوفاء في الوقت المحدد.
للاطلاع على المخطط الكامل، راجع docs/SCHEMA.md في مستودع المصدر؛ كل عمود موثَّق بسياسة احتفاظ.
أين تُخزَّن البيانات
| السطح | المزوِّد | المنطقة | خيار منطقة واحدة؟ |
|---|---|---|---|
| Dashboard + API | Cloudflare Pages Functions | حافة عالمية (أقرب PoP) | نعم, Agency+ فقط |
| سجلات الرموز (D1) | Cloudflare D1 (SQLite) | المنطقة الأساسية تُحدَّد عند التوفير (حالياً: ENAM) | نعم, D1 مجزّأة لكل مستأجر لخطط Agency+ |
| مسار إعادة التوجيه السريع (KV) | Cloudflare Workers KV | مُنسَخ على الحافة عالمياً لأقل من 50 مللي ثانية p99 | غير متاح (النسخ المتماثل هو المنتج) |
| النسخ الاحتياطية المشفَّرة | Cloudflare R2 | المنطقة الأساسية تُحدَّد عند إنشاء الحاوية | نعم, حاوية EU / APAC بحسب الاختصاص القضائي عند الطلب |
| المدفوعات | Stripe | US, معالجة PII الإقليمية عبر إقامة Stripe الخاصة | عبر عقد Stripe |
| البريد الإلكتروني التشغيلي | ZeptoMail (Zoho) | IN (منطقة EU لـ Zoho متاحة عند الطلب) | نعم, منطقة Zoho EU |
ما يعبر الحدود بالضبط
- عمليات المسح لا تعبر الحدود بطريقة مفقودة. مسح من لشبونة يصل إلى PoP Cloudflare في لشبونة، يكتب الـ worker اليوم/الدولة/الجهاز في KV على الحافة، ويجمّعها بشكل غير متزامن في D1 بمنطقتها الأساسية. IP الماسح الأصلي يعيش في حالة الطلب المؤقتة لـ Cloudflare طوال مدة طلب HTTP ولا يُخزَّن في قاعدة البيانات.
- طلبات Dashboard تنتهي عند أقرب PoP لـ Cloudflare وتستدعي D1 عبر الشبكة الخاصة لـ Cloudflare. Pages Functions تقرأ وتكتب D1 في منطقتها المخصصة؛ حافة PoP تخدم حزمة HTML + JS من ذاكرة التخزين المؤقتة للأصول الثابتة العالمية.
- Stripe webhooks تعبر الحدود مرة واحدة: Stripe (US) يُرسل POST إلى نقطة نهاية Cloudflare Pages لدينا، التي تتحقق من HMAC وتكتب صفاً بسيطاً (event_id, type) لضمان idempotency وتُطلق الأحداث اللاحقة.
- البريد الإلكتروني التشغيلي (Zepto) يعبر الحدود مرة واحدة لكل إرسال: يُسلِّم worker لدينا قالباً مُصيَّراً إلى API الخاص بـ Zepto؛ يُوصِّل Zepto الرسالة إلى خادم بريد المستلم. المحتوى هو روابط دعوة وإشعارات دورة حياة الفوترة وتنبيهات حد المسح، دون أي بيانات مسح للعميل.
خط أنابيب مكافحة التصيد عبر QR
ارتفع التصيد عبر QR بنسبة 146% في الربع الأول من 2026. مزود الروابط القصيرة المعتاد يتفاعل بعد شكوى العميل. نحن نفحص كل رابط عند الإصدار، وعند كل تغيير للوجهة، وعلى جدول متجدد لأن العميل يمكنه إعادة توجيه URL الخاص به على خادمه دون أي استدعاء لـ API لدينا. خط أنابيب threat-intel ذاته الذي يُشغِّل الماسح العام على check.qr.abundera.ai يعمل على كل رابط نُصدره.
سبع طبقات كشف، لكل منها طلب براءة اختراع أمريكي معلَّق. كل طبقة تُغذّي حكماً موحَّداً؛ إيجابية في أي طبقة واحدة يمكنها منع الإنشاء، أو رفض تغيير الوجهة، أو تعليق رابط نشط.
| الطبقة | ما تكتشفه | متى تعمل |
|---|---|---|
| قابلية تغيير سلسلة إعادة التوجيه | عدد الأطراف المستقلة التي تتحكم في المسار بين رابطنا القصير والصفحة النهائية. سلسلة مكوّنة من قفزتين عبر موجِّه جهة أخرى تنتمي لفئة خطر مختلفة عن الوجهة المباشرة. | الإنشاء، تغيير الوجهة، إعادة الفحص المتجددة |
| تحليل حمولات متعددة الأوضاع | حمولات WiFi وجهة الاتصال والهاتف والبريد والتقويم والموقع الجغرافي والعملات المشفرة ونوايا Android والبيانات المضمَّنة تحصل على محلل خاص بكل نوع. المخططات المحظورة بصرامة تُرفض عند الإرسال. | الإنشاء، تغيير الوجهة |
| إخفاء الزاحف مقابل المتصفح | صفحات تقدم محتوى نظيفاً للماسحات وتصيداً للبشر. تُكتشف بجلبات متوازية بتباين بصمات محكوم وتقييم تباين. | الإنشاء، إعادة الفحص المتجددة |
| قابلية تغيير خادم الوجهة | النطاقات المسجَّلة حديثاً، الشهادات الجديدة، TLDs عالية الدوران، غياب HSTS، وتدهور مخطط النقل. مستقلة عن سلسلة إعادة التوجيه؛ سلسلة ثابتة أحادية القفزة إلى شهادة عمرها ستة أيام على TLD مشبوه تُبلَّغ عنها أيضاً. | الإنشاء، تغيير الوجهة، إعادة الفحص المتجددة |
| منشأ النسخة المادية | سجل تجزئة جماعي المصدر مفهرَس بحمولة المسح المفككة. رمز QR واحد يُمسح عبر مناطق متباينة كثيرة في وقت قصير يُصنَّف كمرشح لهجوم الملصقات. كل رابط نُصدره يحصل على إدخال منشأ نظيف عند الإنشاء، لذا تُكشف هجمات التغطية على رموز Pro الشرعية. | مستمر |
| تباين العلامة التجارية المرئية | إذا كان الرمز يحمل شعار علامة تجارية لا تتضمن مجموعة نطاقاتها الأساسية وجهة المسح المفككة، يكون الرمز متبايناً مع العلامة التجارية. ينطبق على كل رمز Pro يستخدم ميزة الشعار المركزي لدينا؛ لا يمكن للمهاجم إرسال رمز بشعار Chase يشير إلى نطاق غير Chase. | الإنشاء، تغيير الشعار، تغيير الوجهة |
| توبولوجيا الاستشعار / الموقع | للرموز المرتبطة بموقع (عدادات صف السيارات، تسجيل الوصول بالفندق، قوائم المطاعم، معروضات المتاحف)، يُفحص سياق RF المحيطي لجهاز المسح مقابل التوبولوجيا المسجَّلة لذلك الموقع. عدم التطابق يُرجع شذوذ سياق الاستشعار حتى في أول مسح لملصق مزوَّر. خطة Enterprise؛ مشغّل الموقع يسجّل التوبولوجيا المتوقعة عند إنشاء الرمز. | كل عملية مسح |
مشكلة التغيير من جانب العميل
URL وجهة رابط Pro يعيش على خادم العميل لا خادمنا. يمكن للعميل إعادة توجيه example.com/promo من عرض حقيقي إلى صفحة تصيد دون أي استدعاء لـ Abundera API. نتعامل مع هذا باعتباره مسار الإساءة الأساسي لا حالة استثنائية. إعادة الفحص المتجددة على الوجهات النشطة تعمل وفق جدول، وطبقة كشف الإخفاء تستهدف تحديداً الصفحات التي تتغير بعد الإرسال. عندما تبدأ وجهة ما في فشل الفحوصات بعد الإنشاء، يُعلَّق الرابط تلقائياً، يُرسَل بريد للمالك بالحكم المحدد، ويُسجَّل الحدث في سجل التدقيق.
الإيجابيات الكاذبة والاستئنافات
بيانات التهديدات قد تُخطئ أحياناً. علامة تجارية شرعية على شهادة حديثة الإصدار، عرض حقيقي غيَّر صفحته بشكل مشروع، نطاق انتقل. كل حظر وكل تعليق تلقائي يتضمن طبقة الحكم المحددة التي أطلقت التنبيه، والمدخل الذي أثاره، واستئنافاً بنقرة واحدة يُصعَّد إلى إنسان في غضون يوم عمل واحد. نميل إلى التعليق لا الحذف؛ رابط معلَّق يمكن إعادة تفعيله في ثوانٍ بعد موافقة الاستئناف.
إقامة المنطقة الواحدة (Agency+ وCustom Enterprise)
للمشترين في EU فقط أو APAC فقط، يمكن لعملاء خطة Agency طلب:
- D1 في اختصاص قضائي واحد (EU: EEUR أو WEUR؛ APAC: APAC). Cloudflare يحترم تلميح
locationعند إنشاء قاعدة البيانات؛ نُشغِّل مجزأة D1 لكل مستأجر في المنطقة المطلوبة (ADR-0010). - حاوية R2 في نفس الاختصاص القضائي, النسخ الاحتياطية المشفرة الليلية من D1 إلى R2 تستقر في المنطقة المطابقة.
- منطقة Zepto EU للبريد الإلكتروني التشغيلي، مُهيَّأة على مستوى الخدمة دون تغيير في الكود.
- KV يبقى عالمياً, النسخ المتماثل على الحافة أساسي لضمان إعادة التوجيه في أقل من 50 مللي ثانية. إذا كانت KV أحادية المنطقة متطلباً صارماً، تواصل معنا لتقييم جدوى متغير Worker إقليمي لحملتك.
سعر إضافة المنطقة الواحدة بسعر ثابت (دون علاوة لكل مقعد) ويعتمد على التركيبة المحددة. راسل enterprise@abundera.ai مع الاختصاص القضائي المستهدف وحجم المسح المتوقع وسنُقدِّم عرض سعر.
الوضع التنظيمي
- GDPR, الحد الأدنى من البيانات بالتصميم (دولة وفئة جهاز فقط، دون IP أو UA أو cookies) مع تصدير بنقرة واحدة وحذف نهائي خلال 30 يوماً. DPA و EU SCCs متاحان لجميع الخطط المدفوعة.
- CCPA, مشمول بنفس سطح التصدير والحذف. «بيع البيانات» ليس شيئاً نفعله: لا مشاركة مع أطراف ثالثة، لا شركاء إعلانيين، لا إعادة استهداف.
- SSO + توفير SCIM, SAML 2.0 + OIDC لتسجيل الدخول الموحَّد ودورة حياة المستخدمين والمجموعات بـ SCIM 2.0 (خطط Agency وCustom Enterprise). تحقق الامتثال مع RFC 7643/7644 (20/20 على مجموعة اختبارات مشتقة من PingIdentity). علامة الميزة لكل اتصال تعني أن SCIM مُعطَّل افتراضياً ويُفعَّل لكل عميل؛ محدود المعدل بـ 50 RPS لكل رمز؛ مُسجَّل بالتدقيق. Okta/Entra/JumpCloud تعمل اليوم كتطبيقات SCIM مخصصة بينما قوائم كتالوج الشركاء قيد التقدم.
- SOC 2 Type II, في مرحلة التحديد. عملية تستغرق 6-9 أشهر. إذا كان هذا متطلباً صارماً، راسل enterprise@abundera.ai لمشاركة الوضع الحالي والجدول الزمني المتوقع.
- PCI-DSS, خارج نطاقنا مباشرةً؛ المدفوعات تتم من البداية للنهاية عبر Stripe (معتمد PCI المستوى 1).
الإفصاح الأمني
وجدت ثغرة أمنية؟ راسل security@abundera.ai. إفصاح منسَّق: نؤكد الاستلام خلال 24 ساعة (أيام عمل)، ونُصنِّف خلال 72 ساعة، ونُنسِّق معك جدول الإصلاح والإفصاح. لا يوجد برنامج مكافأة أخطاء حتى الآن؛ نُقرّ بالباحثين علناً على abundera.ai/security/thanks/ بعد شحن الإصلاح.