<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>MacOS on Arpokrat</title>
    <link>https://arpokrat.com/ar/blog/tags/macos/</link>
    <description>Recent content in MacOS on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>ar</language><lastBuildDate>Mon, 22 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/ar/blog/tags/macos/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>أي نظام تشغيل لأمانك وخصوصيتك؟ مقارنة بين Windows وmacOS وLinux وTails وWhonix وQubes OS</title>
      <link>https://arpokrat.com/ar/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</link>
      <pubDate>Mon, 22 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/ar/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</guid>
      <description>&lt;p&gt;اختيار نظام التشغيل ليس مجرد مسألة تفضيل للواجهة أو توافق البرامج. إنه أيضاً، وبشكل متزايد، قرار يتعلق بالأمان والخصوصية. فكل نظام تشغيل يجمع البيانات بطريقة مختلفة، ويكشف عن أسطح هجوم متباينة، ويمنح المستخدم مستوى متفاوتاً من التحكم. تحلّل هذه المقارنة الأنظمة الرئيسية في السوق من هذه الزاوية حصراً، من الأكثر انتشاراً إلى الأكثر تخصصاً.&lt;/p&gt;
&lt;h2 id=&#34;المعيار-المحوري-من-يتحكم-في-نظامك&#34;&gt;المعيار المحوري: من يتحكم في نظامك؟&lt;/h2&gt;
&lt;p&gt;قبل الخوض في تفاصيل كل نظام، ثمة مبدأ هيكلي جوهري: تعتمد أمان نظام التشغيل اعتماداً جذرياً على مَن يمتلك الشيفرة المصدرية وما هي القرارات المعمارية التي اتُّخذت في مرحلة التصميم. فنظام التشغيل المملوك ذو الشيفرة المغلقة (Windows وmacOS) يُفوِّض هذه الثقة إلى ناشره. أما نظام المصدر المفتوح فيُفوِّض هذه الثقة إلى المجتمع الذي يُراجع الشيفرة. ونظام التشغيل المصمَّم للأمان عبر التجزئة (Qubes OS) ينطلق من مبدأ أن أيَّ مكوِّن في النظام لا يجب الوثوق به بالكامل.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;windows-11&#34;&gt;Windows 11&lt;/h2&gt;
&lt;h3 id=&#34;جمع-البيانات-والقياس-عن-بعد&#34;&gt;جمع البيانات والقياس عن بُعد&lt;/h3&gt;
&lt;p&gt;Windows 11 هو نظام سطح المكتب الأكثر استخداماً في العالم، وهو أيضاً من أكثر الأنظمة جمعاً للبيانات بصورة افتراضية. تُقسِّم Microsoft قياسها عن بُعد إلى فئتين رسميتين:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;البيانات المطلوبة&lt;/strong&gt; (غير قابلة للتعطيل في إصدارَي Home وPro): تكوين الأجهزة، ومعرِّفات الأجهزة، وتقارير الأخطاء والاستقرار، وبيانات التحديثات والمشغِّلات. تُرسَل هذه البيانات إلى Microsoft بصرف النظر عن تفضيلات المستخدم.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;البيانات الاختيارية&lt;/strong&gt;: سلوك الاستخدام، والتفاعلات مع التطبيقات، وبيانات التخصيص. قابلة للتعطيل في الإعدادات، لكنها تُعاد تفعيلها تلقائياً عند بعض التحديثات الكبرى.&lt;/p&gt;
&lt;p&gt;قدَّم Windows 11 24H2 طبقات جمع جديدة متعددة مرتبطة بالذكاء الاصطناعي:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Windows Recall&lt;/strong&gt;: يلتقط صورة للشاشة كل خمس ثوانٍ لإنشاء جدول زمني قابل للبحث لكل ما فعلته على جهازك. قابل للتعطيل، لكنه مُفعَّل افتراضياً ومرتبط بصلاحيات وصول قابلة للتوسيع من قِبل تطبيقات أخرى&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Copilot&lt;/strong&gt;: كل طلب يُرسَل إلى خوادم Microsoft، بما يشمل لقطات الشاشة والنص المُحدَّد وسياق التطبيقات المفتوحة&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Defender Cloud Protection&lt;/strong&gt;: يُرسِل تجزئات الملفات المشبوهة والبيانات السلوكية إلى سحابة Microsoft للتحليل&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;الخلاصة التي وثَّقتها مصادر تقنية مستقلة عديدة لا لبس فيها: يستحيل تعطيل القياس عن بُعد في Windows 11 بصورة كاملة على إصدارَي Home وPro. السبيل الوحيد لذلك هو استخدام إصدار Enterprise أو Education، وتطبيق سياسات مجموعة محددة، أو اللجوء إلى أدوات خارجية كـ O&amp;amp;O ShutUp10++ أو WPD، مع ما قد يترتب على ذلك من مخاطر عدم الاستقرار.&lt;/p&gt;
&lt;h3 id=&#34;سطح-الهجوم-والأمان&#34;&gt;سطح الهجوم والأمان&lt;/h3&gt;
&lt;p&gt;Windows 11 هو هدف الغالبية العظمى من البرمجيات الخبيثة وبرامج الفدية والاستغلالات المتاحة في العالم، بما يتناسب مع حصته في السوق. قدَّمت Microsoft آليات أمان مهمة (TPM 2.0 إلزامي، وSecure Boot، وVBS، وCredential Guard)، لكنها تعمل في نموذج أحادي البنية: يؤثر اختراق النواة أو خدمة نظام ذات امتيازات على البيئة بأكملها.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;حكم الأمان/الخصوصية:&lt;/strong&gt; النظام الأكثر تعرضاً في هذه المقارنة، مع قياس عن بُعد لا يمكن تعطيله بالكامل، ونموذج ثقة مُفوَّض كلياً إلى Microsoft والولاية القضائية الأمريكية.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;macos&#34;&gt;macOS&lt;/h2&gt;
&lt;h3 id=&#34;جمع-البيانات-والقياس-عن-بعد-1&#34;&gt;جمع البيانات والقياس عن بُعد&lt;/h3&gt;
&lt;p&gt;بنت Apple جزءاً من صورتها التسويقية على الخصوصية. غير أن الواقع التقني أكثر دقة من ذلك.&lt;/p&gt;
&lt;p&gt;يجمع macOS بيانات أقل بكثير من Windows افتراضياً، لكن الجمع لا يزال حقيقياً وغير قابل للتعطيل جزئياً:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Gatekeeper والتحقق من OCSP&lt;/strong&gt;: عند كل فتح لتطبيق، يجري macOS تحققاً إلكترونياً مع خوادم Apple للتأكد من أن التطبيق لم يُلغَ. يُرسِل هذا الطلب معلومات عن التطبيق المفتوح وعنوان IP الجهاز. لا يتيح أي إعداد أصلي تعطيل هذه التحققات دون الإخلال بسلسلة الأمان&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;تحليلات macOS&lt;/strong&gt;: جمع بيانات عن استخدام النظام، قابل للتعطيل من تفضيلات النظام &amp;gt; الخصوصية &amp;gt; التحليلات&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;قياس عن بُعد لتطبيقات Apple&lt;/strong&gt;: تحتفظ Maps وSiri وApp Store وسائر تطبيقات Apple المدمجة بجمع خاص بها، مع معرِّفات دوَّارة، بصرف النظر عن إعداد تحليلات النظام&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;للمزيد، يوصي خبراء الأمان باستخدام جدار حماية للتطبيقات (Little Snitch أو LuLu، مفتوح المصدر ومجاني) لمراقبة الاتصالات الصادرة وحجبها تطبيقاً بتطبيق.&lt;/p&gt;
&lt;h3 id=&#34;سطح-الهجوم-والأمان-1&#34;&gt;سطح الهجوم والأمان&lt;/h3&gt;
&lt;p&gt;يستفيد macOS من عدة آليات أمان متينة: System Integrity Protection (SIP) التي تحمي ملفات النظام للقراءة فحسب، وKernel Integrity Protection على المستوى المادي في رقائق Apple Silicon، وعزل تطبيقات App Store في صناديق حماية، وSecure Enclave في الأجهزة الحديثة. وتُشكِّل العلاقة مع معرِّف Apple ID المسار الرئيسي لجمع البيانات الشخصية.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;حكم الأمان/الخصوصية:&lt;/strong&gt; أفضل من Windows في القياس عن بُعد الافتراضي، لكنه لا يزال خاضعاً للتحققات من OCSP غير القابلة للتعطيل، والولاية القضائية الأمريكية، والنموذج المغلق لـ Apple. يصعب التدقيق فيه بصورة مستقلة.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;linux-التوزيعات-العامة&#34;&gt;Linux (التوزيعات العامة)&lt;/h2&gt;
&lt;p&gt;Linux ليس نظام تشغيل واحداً بل نواة تُبنى فوقها توزيعات متباينة جداً. من منظور الأمان والخصوصية، تتقاسم أساساً مشتركاً لكنها تتباين في عدة نقاط.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Ubuntu&lt;/strong&gt; هي التوزيعة الأكثر شعبية للمبتدئين. أثارت في عام 2012 جدلاً بإرسال عمليات البحث المحلية إلى خوادم Amazon، وهو سلوك أُلغي منذ ذلك الحين. تحتفظ Ubuntu بجمع بيانات الاستخدام الخاصة بها (whoopsie وubuntu-report)، قابل للتعطيل، وتدمج مستودعات Snap الخاضعة لسيطرة Canonical Ltd.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Debian&lt;/strong&gt; هي الأساس الذي بُنيت عليه Ubuntu، دون الطبقات المُضافة من Canonical. تُديرها مجموعة مجتمعية غير ربحية بالتزام صارم بالبرمجيات الحرة، ولا تجمع أي قياس عن بُعد افتراضياً. تُفضَّل سياسة تحديثاتها المحافظة عموماً من حيث تقليص سطح الهجوم.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Fedora&lt;/strong&gt;، التي ترعاها Red Hat (فرع IBM)، متطورة تقنياً مع دورة تحديثات سريعة. لا قياس عن بُعد افتراضياً، غير أن العلاقة مع Red Hat/IBM تُدخِل تبعية مؤسسية جديرة بالملاحظة.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Linux Mint&lt;/strong&gt;، المشتقة من Ubuntu، مصممة للمستخدمين القادمين من Windows. أزالت أكثر مكونات Ubuntu إثارة للجدل (Snap غائب افتراضياً) ولا تُدخِل قياساً عن بُعد خاصاً بها.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Arch Linux&lt;/strong&gt; تستهدف المستخدمين المتقدمين بفلسفة تقشفية: يُثبِّت المستخدم ما يحتاج إليه فحسب. لا قياس عن بُعد، وتحديثات متواصلة (rolling release)، وحرية تخصيص تامة.&lt;/p&gt;
&lt;h3 id=&#34;ما-يقدمه-linux-بصورة-جوهرية&#34;&gt;ما يُقدِّمه Linux بصورة جوهرية&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;شيفرة مصدرية مفتوحة وقابلة للتدقيق&lt;/strong&gt;: يمكن لأي باحث أمني فحص شيفرة النواة والمكونات الرئيسية&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;غياب القياس عن بُعد المفروض&lt;/strong&gt;: لا توزيعة رئيسية تُجبر على جمع بيانات غير قابل للتعطيل&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;نموذج صلاحيات أكثر صرامة&lt;/strong&gt; افتراضياً: استخدام حساب root منفصل عن الأنشطة اليومية&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;سطح هجوم مُقلَّص&lt;/strong&gt;: Linux أقل استهدافاً بالبرمجيات الخبيثة الجماعية&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;حكم الأمان/الخصوصية:&lt;/strong&gt; متفوق بوضوح على Windows وmacOS في جمع البيانات. لا توزيعة عامة تحمي من انتشار اختراق أحد التطبيقات إلى النظام بأكمله.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;tails-os&#34;&gt;Tails OS&lt;/h2&gt;
&lt;h3 id=&#34;الفلسفة-النسيان-كحماية&#34;&gt;الفلسفة: النسيان كحماية&lt;/h3&gt;
&lt;p&gt;Tails، اختصار لـ &lt;em&gt;The Amnesic Incognito Live System&lt;/em&gt;، نظام تشغيل مبني على Debian اندمج مع Tor Project عام 2024. فلسفته تختلف جذرياً عن سائر الأنظمة: بدلاً من محاولة تأمين بيئة دائمة، يُلغي أي استمرارية افتراضياً. &lt;strong&gt;Tails لا يوجد إلا طوال مدة الجلسة.&lt;/strong&gt;&lt;/p&gt;
&lt;h3 id=&#34;البنية-التقنية&#34;&gt;البنية التقنية&lt;/h3&gt;
&lt;p&gt;يعمل Tails بالكامل من مفتاح USB (8 غيغابايت كحد أدنى) ويعمل كلياً في الذاكرة العشوائية RAM. عند إيقاف تشغيله، لا تبقى أي أثر على الجهاز المضيف: لا ملفات مؤقتة، ولا سجل، ولا بيانات اعتماد، ولا أثر جنائي على القرص الصلب للحاسوب المُستخدَم. لا يهم إن كان هذا الحاسوب مخترقاً برمجياً: Tails لا يكتب أبداً على قرصه.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Tor افتراضياً وبلا استثناء&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;يُوجَّه كل حركة مرور شبكة Tails بصورة منهجية عبر شبكة Tor. إذا حاول تطبيق إنشاء اتصال مباشر متجاوزاً Tor، يحجبه Tails. لا يمكن استخدام Tails للتصفح دون Tor، حتى عن طريق الخطأ.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;التخزين الدائم المشفَّر (اختياري)&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;افتراضياً، ينسى Tails كل شيء عند كل إيقاف تشغيل. للمستخدمين الذين يحتاجون إلى الاحتفاظ ببعض البيانات بين الجلسات، يُوفِّر Tails &lt;strong&gt;Persistent Storage&lt;/strong&gt;: وحدة تخزين مشفَّرة (LUKS) تُنشأ على مفتاح USB نفسه، محمية بعبارة مرور. يختار المستخدم تحديداً ما يُخزَّن فيها: ملفات معينة، وإعدادات تطبيقات، ومفاتيح PGP، وغير ذلك. هذا التخزين الدائم لا يُغيِّر الطابع النسياني لـ Tails تجاه الجهاز المضيف، بل يؤثر فقط على ما يُحفظ على مفتاح USB بين جلستين.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;الأدوات المثبَّتة مسبقاً&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;يأتي Tails مزوَّداً بمجموعة أدوات مُهيَّأة مسبقاً: Tor Browser، وعميل بريد مشفَّر، وأداة تشفير ملفات (Kleopatra/GnuPG)، وعملاء مراسلة آمنة، وLibreOffice لمهام المكتب. لا حاجة لتثبيت أي برنامج إضافي للاستخدام اليومي عالي الأمان.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;ملاحظة تقنية 2026:&lt;/strong&gt; أضافت Tails 7.7 إشعاراً بشأن شهادات Secure Boot المنتهية الصلاحية، إذ بدأت مفاتيح Microsoft الصادرة عام 2011 تنتهي صلاحيتها في يونيو 2026. المستخدمون الذين لم يُحدِّثوا البرنامج الثابت UEFI لديهم قد يعجزون عن تشغيل Tails على بعض الأجهزة.&lt;/p&gt;
&lt;h3 id=&#34;ما-يحمي-منه-tails-وما-لا-يحمي-منه&#34;&gt;ما يحمي منه Tails وما لا يحمي منه&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;التهديد&lt;/th&gt;
					&lt;th&gt;حماية Tails&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;الفحص الجنائي للقرص المضيف بعد المصادرة&lt;/td&gt;
					&lt;td&gt;كاملة: لا يُمسُّ القرص المضيف أبداً&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;مراقبة الشبكة (IP والمواقع المزارة)&lt;/td&gt;
					&lt;td&gt;قوية عبر Tor، لكنها تعتمد على متانة Tor&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;البرمجيات الخبيثة الدائمة على الجهاز المضيف&lt;/td&gt;
					&lt;td&gt;متجاوزة: Tails لا يستخدم النظام المثبَّت&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;برمجيات خبيثة في BIOS/UEFI (البرنامج الثابت المخترق)&lt;/td&gt;
					&lt;td&gt;معدومة: لا يستطيع Tails الحماية من برنامج الجهاز المضيف الثابت&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;الخطأ البشري (الاتصال بحساب شخصي)&lt;/td&gt;
					&lt;td&gt;معدومة: الاتصال بـ Gmail تحت Tails يُزيل إخفاء هوية الجلسة&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;اختراق أحد البرامج خلال الجلسة&lt;/td&gt;
					&lt;td&gt;مقصورة على الجلسة الجارية، تُتلف عند الإيقاف&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;القيود-الحقيقية&#34;&gt;القيود الحقيقية&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Tails لا يصلح للاستخدام اليومي: غياب الاستمرارية يستلزم إعادة تهيئة البيئة عند كل تشغيل&lt;/li&gt;
&lt;li&gt;برنامج خبيث من نوع BIOS أو البرنامج الثابت (كزرعة على مستوى UEFI) يمكنه نظرياً اختراق جلسة Tails، لأن Tails لا يتحكم في طبقة البرنامج الثابت للجهاز الذي يعمل عليه&lt;/li&gt;
&lt;li&gt;الاتصال بحساب شخصي (بريد إلكتروني، شبكة اجتماعية) يُلغي إخفاء هوية الجلسة بصرف النظر عن Tor&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;لمن&#34;&gt;لمن؟&lt;/h3&gt;
&lt;p&gt;الصحفيون العاملون مع مصادر عبر SecureDrop، والناشطون الخاضعون للمراقبة في الأنظمة القمعية، وكل من يحتاج إلى جلسة لمرة واحدة عالية الحساسية على أجهزة غير خاضعة لسيطرته. استخدمه Glenn Greenwald وLaura Poitras لمعالجة وثائق Snowden، وتوصي به EFF ومؤسسة حرية الصحافة ومشروع Tor.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;الحكم:&lt;/strong&gt; أداة الاختيار الأول للجلسات اللحظية عالية الحساسية. ليس نظام تشغيل رئيسياً للاستخدام اليومي.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;whonix&#34;&gt;Whonix&lt;/h2&gt;
&lt;h3 id=&#34;الفلسفة-الإخفاء-الهيكلي-عبر-العزل-الشبكي&#34;&gt;الفلسفة: الإخفاء الهيكلي عبر العزل الشبكي&lt;/h3&gt;
&lt;p&gt;يُجيب Whonix على سؤال مختلف عن Tails: بدلاً من مسح كل أثر بعد الجلسة، يضمن أن برنامجاً خبيثاً يعمل في بيئة العمل &lt;strong&gt;لا يستطيع هيكلياً معرفة عنوان IP الحقيقي للمستخدم&lt;/strong&gt;، حتى لو امتلك صلاحيات root على الجهاز الافتراضي للعمل.&lt;/p&gt;
&lt;p&gt;Whonix مبني على Debian (عبر KickSecure، إصدار مُقوَّى من Debian طوَّره الفريق نفسه) ويعمل داخل محاكي افتراضي من النوع 2 (VirtualBox أو KVM) على أي نظام تشغيل مضيف، أو بصورة أصلية في Qubes OS كنوع 1.&lt;/p&gt;
&lt;h3 id=&#34;البنية-ذات-الجهازين-الافتراضيين&#34;&gt;البنية ذات الجهازَين الافتراضيَّين&lt;/h3&gt;
&lt;p&gt;المبدأ المحوري لـ Whonix هو &lt;strong&gt;الفصل الصارم بين طبقة الشبكة وطبقة التطبيقات&lt;/strong&gt;، مُنفَّذ عبر جهازين افتراضيين مستقلين:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Gateway&lt;/strong&gt; هو الجهاز الافتراضي الأول. يُشغِّل عفريت Tor ويعمل حصراً كبوابة شبكية. هو الجهاز الافتراضي الوحيد الذي يملك إمكانية الوصول إلى الإنترنت. لا يحتوي على أي تطبيقات مستخدم. دوره الوحيد اعتراض كل حركة المرور الشبكية الواردة والصادرة وإجبارها على العبور عبر Tor.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Workstation&lt;/strong&gt; هو الجهاز الافتراضي الثاني. هو بيئة العمل: المتصفح، والمراسلة، ومعالجة الملفات، والتطوير. يتصل بالإنترنت فقط عبر الشبكة الافتراضية الداخلية التي تُشير إلى Whonix-Gateway. لا يملك أي وصول مباشر للإنترنت، ولا أي قدرة اتصال تتجاوز البوابة.&lt;/p&gt;
&lt;p&gt;إليك ما يحدث عند طلب شبكي من الـ Workstation:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;يُصدر التطبيق طلب شبكي&lt;/li&gt;
&lt;li&gt;تُرسِله الـ Workstation عبر واجهتها الشبكية الداخلية إلى البوابة&lt;/li&gt;
&lt;li&gt;تعترض البوابة الطلب وتُعيد توجيهه عبر Tor (ثلاثة مرحِّلات متتالية)&lt;/li&gt;
&lt;li&gt;يعود الرد بالمسار نفسه في الاتجاه المعاكس&lt;/li&gt;
&lt;li&gt;تتلقى الـ Workstation الرد دون أن تعلم قط بعنوان IP الخروج الحقيقي&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;strong&gt;الضمان الجوهري&lt;/strong&gt;: حتى لو اخترق برنامج خبيث الـ Workstation بصلاحيات root، لا يستطيع معرفة عنوان IP الحقيقي للمستخدم، لأن الـ Workstation نفسها لا تملك إمكانية الوصول إليه قط. لا ترى الـ Workstation إلا عنوان IP الداخلي للبوابة.&lt;/p&gt;
&lt;h3 id=&#34;آليات-الأمان-الإضافية&#34;&gt;آليات الأمان الإضافية&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;عزل التدفق (Stream isolation)&lt;/strong&gt;: يستخدم Whonix دوائر Tor مستقلة لتطبيقات مختلفة (المتصفح لا يستخدم الدائرة نفسها كعميل البريد الإلكتروني، وهكذا)، مما يمنع الربط بين حركة مرور أنشطة مختلفة.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;تعشية ساعة التشغيل (Boot clock randomization)&lt;/strong&gt;: تُزاح ساعة نظام الـ Workstation عشوائياً بقدر طفيف عند كل تشغيل لمنع هجمات التوقيت المبنية على الوقت الدقيق للنظام.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;sdwdate&lt;/strong&gt;: يستخدم Whonix عفريت مزامنة وقت خاصاً به (sdwdate) يستقي الوقت عبر Tor من خوادم onion، بدلاً من NTP التقليدي الذي قد يُسرِّب عنوان IP.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;AppArmor&lt;/strong&gt;: تُقوِّي ملفات AppArmor تحجير التطبيقات الحرجة كـ Tor Browser على مستوى النظام.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;أجهزة افتراضية يمكن التخلص منها&lt;/strong&gt;: تدعم Whonix محطات عمل يمكن التخلص منها (&lt;em&gt;Whonix-Workstation DispVM&lt;/em&gt; في Qubes-Whonix) للمهام اللحظية دون استمرارية، بأسلوب مشابه لنهج Tails لكن ضمن بيئة دائمة في الأصل.&lt;/p&gt;
&lt;h3 id=&#34;أوضاع-النشر-الثلاثة&#34;&gt;أوضاع النشر الثلاثة&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Whonix على VirtualBox أو KVM (النوع 2)&lt;/strong&gt;: الوضع الأكثر سهولة. يعمل الجهازان الافتراضيان على نظام تشغيل مضيف قائم (Windows أو Linux أو macOS). عملي، لكنه يُدخِل طبقة ثقة إضافية في نظام التشغيل المضيف: إذا اختُرق المضيف، يمكن تجاوز حماية Whonix.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes-Whonix (النوع 1، الموصى به)&lt;/strong&gt;: يُدمَج Whonix بصورة أصلية في Qubes OS كقوالب. تصبح البوابة ProxyVM (sys-whonix) وتصبح الـ Workstation AppQube (anon-whonix). هذا هو التهيئة الأمتن لأن العزل يعتمد على محاكي Xen bare-metal بدلاً من محاكي من النوع 2 يعمل على نظام ت&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>