محتوى المدونة متاح حالياً باللغة الإنجليزية. ستتوفر الترجمات قريباً.
ادوات اعلانات فيسبوك المبنية على الرموز وملفات تعريف الارتباط: تحليل امني عميق
Aisha Patel
AI & Automation Specialist
كل اداة grey-hat لاعلانات فيسبوك تحتاج شيئاً واحداً لتعمل: الوصول الى حسابك على فيسبوك. كيف يتم الحصول على هذا الوصول — وما يكشفه — هو السؤال الامني الحاسم الذي لا يطرحه معظم مشتري الوسائط ابداً. يقدم هذا المقال تحليلاً تقنياً عميقاً للطريقتين الرئيسيتين: استخراج رموز EAAB والتقاط الجلسة عبر الكوكيز.
للحصول على تحليل اوسع لجميع مخاطر ادوات grey-hat، راجع التحليل الشامل للمخاطر 2026.
كيف تعمل مصادقة فيسبوك
قبل فهم كيفية عمل ادوات grey-hat، تحتاج الى فهم كيفية عمل مصادقة فيسبوك على المستوى التقني.
تدفق OAuth الرسمي
عندما يتصل تطبيق شرعي (مثل AdRow) بحسابك على فيسبوك، يتبع تدفق OAuth 2.0 لـ Meta:
- المستخدم يبدأ: تنقر على "الاتصال بفيسبوك" في التطبيق
- حوار تسجيل دخول Meta: فيسبوك يعرض حوار صلاحيات يوضح بدقة ما يطلبه التطبيق
- موافقة المستخدم: توافق او ترفض كل نطاق صلاحية بشكل صريح
- اصدار الرمز: Meta تصدر رمز وصول بالنطاقات الموافق عليها فقط
- ادارة الرمز: الرمز له عمر محدد، يمكن تجديده عبر قنوات رسمية، ويمكنك الغاؤه في اي وقت
هذا التدفق يخضع لتدقيق Meta، ويُسجَّل في اعدادات امان فيسبوك الخاصة بك، وهو مصمم لمنحك السيطرة على ما يمكن للتطبيقات الوصول اليه.
ما تفعله ادوات Grey-Hat بدلاً من ذلك
ادوات grey-hat تتجاوز هذا التدفق بالكامل. تحصل على الوصول عبر طريقتين رئيسيتين:
- استخراج الرموز: التقاط رموز EAAB من جلسة متصفحك
- التقاط الكوكيز: تصدير كوكيز جلستك الكاملة
كلتا الطريقتين تمنح مزود الاداة الوصول دون علم Meta، ودون موافقتك التفصيلية، ودون اي آلية الغاء تتحكم فيها انت.
الطريقة 1: استخراج رمز EAAB
ما هو رمز EAAB؟
EAAB تعني "Extended Access API Bearer" — وهو صيغة رمز وصول طويل العمر يستخدمه Graph API الخاص بفيسبوك. عندما تتفاعل مع واجهة اعلانات فيسبوك، ينشئ متصفحك هذه الرموز لمصادقة مكالمات API في الخلفية.
يبدو رمز EAAB هكذا:
EAABsbCS1iHgBO[...حوالي 200 حرف...]ZD
كيف يعمل الاستخراج
تستخرج ادوات grey-hat رموز EAAB عبر عدة طرق تقنية:
اعتراض اضافة Chrome
الطريقة الاكثر شيوعاً. اضافة Chrome (يوفرها اداة grey-hat او خدمة مرافقة) تحقن JavaScript في واجهة فيسبوك. هذا السكريبت يراقب طلبات الشبكة، ويعترض مكالمات API التي تحتوي على رموز EAAB. ثم يُرسَل الرمز الى خوادم الاداة.
المتصفح → مكالمة API فيسبوك (تحتوي رمز EAAB)
↓
اضافة Chrome تعترض الطلب
↓
الرمز يُستخرج ويُرسل لخادم اداة grey-hat
↓
الخادم يستخدم الرمز لاجراء مكالمات API نيابة عنك
تصدير كوكيز المتصفح
بعض الادوات تستخرج كوكيز c_user وxs من جلسة فيسبوك الخاصة بك. يمكن استخدام هذه الكوكيز لانشاء رموز EAAB جديدة عبر اعادة تشغيل طلبات المصادقة الى نقاط النهاية الداخلية لفيسبوك.
اتمتة المتصفح المباشرة
اقل شيوعاً لكن تستخدمها بعض الادوات: متصفح headless يقوم بأتمتة تسجيل دخولك الى فيسبوك، وينتقل الى Ads Manager، ويلتقط رموز EAAB المنشأة اثناء الجلسة.
ما تمنحه رموز EAAB من وصول
الصلاحيات المضمنة في رمز EAAB المستخرج تشمل عادة:
| نطاق الصلاحية | ما يمنحه | مستوى الخطر |
|---|---|---|
ads_management | انشاء وتعديل وحذف الحملات ومجموعات الاعلانات والاعلانات | عالي |
ads_read | قراءة جميع البيانات الاعلانية ومقاييس الاداء | متوسط |
business_management | الوصول لاعدادات Business Manager واضافة/ازالة الاشخاص | حرج |
pages_manage_ads | انشاء اعلانات مرتبطة بصفحات فيسبوك الخاصة بك | عالي |
pages_read_engagement | قراءة بيانات منشورات الصفحة ومقاييس التفاعل | متوسط |
read_insights | الوصول للتحليلات والاحصاءات الاعلانية | متوسط |
تحذير: معظم ادوات grey-hat تطلب او تستخرج رموزاً بأوسع صلاحيات ممكنة. لا يمكنك تقييد نطاق رمز مستخرج — فهو يرث اي صلاحيات تحملها جلستك.
عمر الرمز واستمراريته
| نوع الرمز | العمر | الالغاء |
|---|---|---|
| قصير العمر (رسمي) | 1-2 ساعة | انتهاء تلقائي |
| طويل العمر (رسمي) | 60 يوماً | قابل للالغاء من الاعدادات |
| EAAB مستخرج | حتى ابطال الجلسة | يتطلب تغيير كلمة المرور |
| رمز مستخدم النظام | لا ينتهي | مسؤول Business Manager فقط |
يمكن ان تبقى الرموز المستخرجة صالحة لاسابيع او اشهر ما لم تقم بابطالها بشكل فعال عبر تغيير كلمة المرور او تسجيل الخروج من جميع الجلسات.
الطريقة 2: التقاط الجلسة عبر الكوكيز
كيف يعمل التقاط الكوكيز
ادوات الكوكيز تتبع نهجاً مختلفاً. بدلاً من استخراج رمز API محدد، تلتقط جلسة فيسبوك بالكامل عبر كوكيز المتصفح.
الكوكيز الحرجة هي:
| الكوكي | الغرض | ما يمنحه |
|---|---|---|
c_user | معرف المستخدم | يحدد حسابك على فيسبوك |
xs | سر الجلسة | يصادق جلستك |
datr | معرف المتصفح | يتتبع الجهاز/المتصفح |
fr | تتبع فيسبوك | تتبع متعلق بالاعلانات |
بامتلاك كوكيز c_user وxs، يمكن للاداة ان "تصبح" انت فعلياً — تصل الى فيسبوك كما لو كانت مسجلة الدخول الى حسابك من متصفحك.
الكوكي مقابل الرمز: الفروقات الرئيسية
| الجانب | مبني على الرمز | مبني على الكوكي |
|---|---|---|
| نطاق الوصول | مستوى API (صلاحيات محددة) | وصول كامل للحساب |
| ما يُكشف | بيانات اعلانية وادارتها | كل شيء: رسائل، ملف شخصي، اعدادات، اعلانات |
| الاستقرار | مستقر نسبياً (اسابيع-اشهر) | هش (يمكن ابطال الجلسة) |
| خطر الاكتشاف | متوسط (انماط API) | اعلى (شذوذات الجلسة) |
| الالغاء | تغيير كلمة المرور | تغيير كلمة المرور + تسجيل الخروج من جميع الجلسات |
| خطر البيانات اذا اُخترقت الاداة | بيانات اعلانية | سيطرة كاملة على الحساب |
تحذير: الوصول عبر الكوكيز اخطر جوهرياً من الوصول عبر الرموز لانه يكشف حسابك بالكامل على فيسبوك — ليس فقط وظائف الاعلانات. اداة كوكيز مخترقة يمكنها الوصول الى رسائلك الشخصية وقوائم اصدقائك وبيانات ملفك الشخصي.
اي الادوات تستخدم اي طريقة
| الاداة | الطريقة الرئيسية | الطريقة الثانوية |
|---|---|---|
| Dolphin Cloud | رمز (EAAB) | استيراد كوكيز |
| FBTool | رمز + API غير رسمي | استيراد كوكيز |
| Nooklz | مبني على الكوكي | — |
| Saint.tools | مبني على الكوكي | — |
| AdRow | OAuth رسمي | — |
التداعيات الامنية
ماذا يحدث عندما تشارك الوصول
عندما تقدم رموزاً او كوكيز لاداة grey-hat، تنشئ سلسلة امنية بنقاط فشل متعددة:
حسابك على فيسبوك
↓
الرمز/الكوكي يُستخرج
↓
يُنقل الى خوادم الاداة (التشفير غير معروف)
↓
يُخزَّن في قاعدة بيانات الاداة (الامان غير معروف)
↓
يُستخدم لاجراء مكالمات API (التسجيل غير معروف)
↓
يحتمل ان يكون متاحاً لموظفي الاداة
↓
يحتمل ان يكون متاحاً اذا اُخترقت الاداة
كل حلقة في هذه السلسلة هي نقطة اختراق محتملة. انت تثق بمزود الاداة في:
- امن النقل: هل الرمز/الكوكي مشفر اثناء النقل؟
- امن التخزين: هل هو مشفر في حالة السكون؟ من لديه وصول لقاعدة البيانات؟
- ضوابط الوصول: اي الموظفين يمكنهم رؤية بيانات اعتمادك؟
- الاستجابة للاختراق: ماذا يحدث اذا تم اختراق المزود؟
- الاحتفاظ بالبيانات: كم يحتفظون برموزك/كوكيزك بعد توقفك عن استخدام الخدمة؟
بالنسبة لمعظم ادوات grey-hat، الاجابات على هذه الاسئلة غير معروفة لانها لا تنشر اي وثائق امنية.
ناقل هجوم سلسلة التوريد
مزودو ادوات grey-hat هم انفسهم اهداف عالية القيمة للمهاجمين. اختراق واحد لقاعدة بيانات اداة شائعة يمكن ان يكشف آلاف حسابات فيسبوك في وقت واحد. هذا ليس افتراضياً — بل حدث فعلاً.
دراسة حالة: اختراق AdsPower
ماذا حدث
في يناير 2024، تعرض AdsPower — متصفح مضاد للكشف يُستخدم على نطاق واسع في منظومة الاعلانات grey-hat — لهجوم متطور على سلسلة التوريد. استهدف الهجوم اضافة متصفح AdsPower، حيث حقن شفرة خبيثة قامت بـ:
- اعتراض بيانات محافظ العملات المشفرة من ملفات تعريف متصفحات المستخدمين
- تسريب بيانات الاعتماد المخزنة وبيانات الجلسات
- ادى الى سرقة ما يقرب من 4.7 مليون دولار من العملات المشفرة
لماذا يهم معلني فيسبوك
بينما كان الهدف الرئيسي محافظ العملات المشفرة، كشف الهجوم عن ثغرات حرجة:
- ملفات تعريف المتصفح المخزنة تم اختراقها: AdsPower يخزن بيئات متصفح كاملة، بما في ذلك بيانات جلسة فيسبوك
- هجوم عبر الاضافة: نفس آلية اضافة Chrome المستخدمة من ادوات grey-hat لاستخراج الرموز تم تسليحها
- ثقة سلسلة التوريد: المستخدمون وثقوا بـ AdsPower لحفظ ملفات تعريف متصفحاتهم، وتم انتهاك تلك الثقة
- نطاق التعرض: اداة واحدة مخترقة اثرت على آلاف المستخدمين في وقت واحد
الدرس الاوسع
اختراق AdsPower يوضح مبدأ امنياً اساسياً: عندما تقدم بيانات اعتمادك لاداة طرف ثالث، فان امنك لا يتجاوز قوة امن تلك الاداة. مزودو ادوات grey-hat:
- يعملون بشفافية محدودة
- غالباً ما يفتقرون الى شهادات او عمليات تدقيق امنية
- قد يخزنون بيانات الاعتماد دون تشفير كافٍ
- يُعتبرون اهدافاً جذابة بسبب قيمة بيانات الاعتماد المخزنة
- قد لا يكشفون عن الاختراقات بسرعة (او على الاطلاق)
نصيحة احترافية: اسأل نفسك: "ما هي ميزانية الامن للاداة التي اعهد اليها بحسابات فيسبوك الخاصة بي؟" اذا كانت الاداة تكلف $10-100/شهر، فالاجابة تكاد تكون بالتأكيد "غير كافية."
OAuth مقابل استخراج الرموز: مقارنة مباشرة
| الجانب | OAuth الرسمي (AdRow) | استخراج الرموز (Grey-Hat) |
|---|---|---|
| المصادقة | تدفق OAuth 2.0 معتمد من Meta | اعتراض المتصفح او تصدير الكوكيز |
| موافقة المستخدم | صريحة، لكل صلاحية | لا يوجد (يُلتقط دون موافقة تفصيلية) |
| تحديد الصلاحيات | المستخدم يختار بدقة ما يمنحه | يرث صلاحيات الجلسة الكاملة |
| اصدار الرمز | من Meta، بمدة محددة | بالاستخراج، مدة غير محددة |
| سجل التدقيق | مرئي في اعدادات امان فيسبوك | غير مرئي لـ Meta وللمستخدم |
| الالغاء | نقرة واحدة في اعدادات فيسبوك | يتطلب تغيير كلمة المرور + ابطال الجلسة |
| التوافق مع Meta | متوافق بالكامل | ينتهك شروط الخدمة |
| خطر اختراق المزود | محدود بالنطاقات الموافق عليها | كشف كامل للرمز/الكوكي |
| تشفير البيانات | مطلوب من شراكة Meta | غير معروف/غير موثق |
| التدقيق الامني | مطلوب للوصول الى Meta API | لا يوجد |
الفرق جوهري وليس تدريجياً. OAuth نظام امني مصمم لحماية المستخدمين. استخراج الرموز نظام مصمم لتجاوز حماية المستخدمين.
كيفية تقييم تعرضك الحالي
اذا كنت تستخدم حالياً او سبق لك استخدام ادوات grey-hat، قم بتقييم تعرضك:
فحوصات فورية
- اعدادات امان فيسبوك → "اين سجلت الدخول": ابحث عن جلسات من مواقع او اجهزة غير معروفة
- اعدادات امان فيسبوك → "التطبيقات والمواقع": راجع التطبيقات المصرح بها — احذف اي تطبيق لا تعرفه
- Business Manager → "الاشخاص": تحقق من وجود مستخدمين غير مألوفين او دعوات معلقة
- نشاط الحساب الاعلاني: راجع التغييرات الاخيرة بحثاً عن اي تغيير لم تقم به
اذا كنت تشتبه في اختراق
- غيّر كلمة مرور فيسبوك فوراً
- فعّل المصادقة الثنائية اذا لم تكن مفعلة
- سجّل الخروج من جميع الجلسات (اعدادات فيسبوك → الامان → "تسجيل الخروج من جميع الجلسات")
- راجع واحذف اي تطبيقات مصرح بها غير مألوفة
- تحقق من حساباتك الاعلانية بحثاً عن حملات غير مصرح بها او تغييرات في الميزانية
- راجع Business Manager بحثاً عن مستخدمين غير مصرح بهم
- فكر في تغيير طرق الدفع المرتبطة بحساباتك الاعلانية
الطريق نحو ادارة اعلانية آمنة
مخاطر الوصول المبني على الرموز والكوكيز ليست نظرية — بل موثقة ومُثبتة ومستمرة. المشكلة الاساسية هي ان ادوات grey-hat تتطلب منك مشاركة بيانات اعتماد تمنح وصولاً واسعاً الى بنيتك الاعلانية على فيسبوك، مع مزودين ممارساتهم الامنية غير معروفة.
ادوات API الرسمية تزيل هذه الفئة بأكملها من المخاطر:
- صلاحيات محدودة: تتحكم بدقة فيما يمكن للاداة الوصول اليه
- رموز صادرة من Meta: المصادقة تُدار بواسطة بنية Meta التحتية
- الغاء يتحكم فيه المستخدم: ازل الوصول بنقرة واحدة
- سجل تدقيق: كل وصول يُسجَّل ويكون مرئياً في اعدادات فيسبوك
- متطلبات امنية: Meta تتطلب من شركاء API استيفاء معايير امنية
- بدون تخزين بيانات الاعتماد: الاداة لا تمتلك ابداً كلمة مرورك او كوكيز جلستك
مستعد لازالة مخاطر امن الرموز والكوكيز؟ ابدأ الفترة التجريبية المجانية لمدة 14 يوماً من AdRow — API Meta الرسمي، مصادقة OAuth، صفر كشف لبيانات الاعتماد.
مقالات ذات صلة:
الأسئلة الشائعة
The Ad Signal
رؤى أسبوعية لمشتري الوسائط الذين يرفضون التخمين. بريد إلكتروني واحد. فقط إشارات.
مقالات ذات صلة
ادوات Grey-Hat لاعلانات فيسبوك في 2026: تحليل شامل للمخاطر
تحليل شامل للمخاطر يغطي كل فئة من ادوات Grey-Hat للاعلان على فيسبوك في 2026. من قدرات الكشف المتطورة لـ Meta الى اليات الحظر المتتالي وحوادث امن البيانات والتعرض القانوني.
متصفحات مكافحة الكشف وMeta API: كيف تتكامل كلتا التقنيتين في منظومة إعلاناتك
دليل تقني حول كيفية عمل متصفحات مكافحة الكشف وMeta Marketing API، ولماذا تؤدي كل منها وظائف مختلفة في منظومة إعلاناتك، وكيف تقرر ما إذا كنت تحتاج أحدهما أو كليهما.
مقارنة أدوات الإطلاق التلقائي لفيسبوك: Dolphin vs FBTool vs Nooklz vs AdRow
مقارنة شاملة ميزة بميزة لكل أداة إطلاق تلقائي رئيسية لفيسبوك في 2026. نحلل Dolphin Cloud و FBTool و Nooklz و Saint.tools و AdRow من حيث الأسعار والإمكانيات وملف المخاطر والجمهور المستهدف لكل أداة.