Spominjanje kontrolnikov ActiveX, največja spletna napaka

Bližnjica za Internet Explorer na namizju Windows 10.



Kontrolniki ActiveX v Internet Explorerju, predstavljeni leta 1996, so bili slaba ideja za splet. Povzročili so resne varnostne težave in pomagali utrditi prevlado Internet Explorerja v sistemu Windows, kar je privedlo do stagnacija spleta pred Firefoxom .

Kaj so bili kontrolniki ActiveX?

Kontrolniki ActiveX so vrsta programa, ki ga je mogoče vdelati v druge aplikacije. Microsoft jih je uporabljal za različne namene – na primer, kontrolnike ActiveX bi lahko vdelali v dokumente Microsoft Office. Vendar se tukaj osredotočamo na ActiveX za splet. Začenši z Internet Explorerjem 3.0 leta 1996 je Microsoft spletnim razvijalcem omogočil, da v svoje spletne strani vgradijo kontrolnike ActiveX.





Ko ste takrat obiskali spletno stran, vas je Internet Explorer pozval, da prenesete in zaženete vse kontrolnike ActiveX, ki jih je navedla spletna stran.

Priljubljeni vtičniki za Internet Explorer, kot so Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime in Windows Media Player, so bili implementirani s kontrolniki ActiveX.



Internet Explorer 11

POVEZANO: Kaj so kontrolniki ActiveX in zakaj so nevarni

Varnost je bila težava že od začetka

90. so bili drugi časi, kar je prineslo tudi nas nevarni makri v Officeovih dokumentih . Prvotno so bili kontrolniki ActiveX kot kateri koli drug program v vašem računalniku. Ko ste zagnali kontrolnik ActiveX, je imel popoln dostop do vsega v vašem računalniku.



Oglas

Z drugimi besedami, lahko obiščete spletno stran v Internet Explorerju in vidite poziv, ki navaja, da je spletna stran želela zagnati igro ali drug program. Če se strinjate, bi ActiveX Control lahko naredil vse, kar bi želel z vsemi datotekami in programi v vašem računalniku. Preprosto je videti, kako je bilo to idealno za zlonamerno programsko opremo.

To je bilo v ostrem nasprotju s Sunovo tehnologijo Java. Takrat se je Java uporabljala tudi za zagon programov na spletnih straneh v spletnih brskalnikih. Vendar je Java poskušala omejiti, kaj bi ti programi lahko naredili z uporabo a peskovnik . Java v spletnem brskalniku končno imel dolgo zgodovino varnostnih napak — vendar je vsaj Java poskušala omejiti, kaj lahko storijo aplikacije.

Članek CNET iz leta 1997 zajema takratni Microsoftov odnos:

Medtem ko peskovnik Java uveljavlja visoko stopnjo varnosti, uporabnikom ne omogoča prenosa in izvajanja vznemirljivih večpredstavnostnih iger ali drugih programov s polnimi funkcijami v svojih računalnikih, piše v izjavi na Microsoftovem varnostnem spletnem mestu. Posledično bodo uporabniki morda želeli prenesti kodo, ki ima popoln dostop do virov njihovih računalnikov.

V članku je razloženo, da je Microsoft vključil sistem odgovornosti z imenom Authenticode. Razvijalci programske opreme so se lahko odločili, da bodo svoje kontrole ActiveX žigosali z digitalnim podpisom, vendar to ni bilo obvezno. Razvijalce, ki so ustvarili zlonamerne kontrolnike ActiveX, bi lahko lažje izsledili – če bi se odločili podpisati svoje kontrole.

Ker se je Microsoft sprva zanašal na sistem časti, je enostavno videti, kako je ActiveX postal priljubljen način za dostavo zlonamerne in vohunske programske opreme uporabnikom Internet Explorerja.

POVEZANO: Zakaj toliko geekov sovraži Internet Explorer?

ActiveX je bil zasnovan za stari splet

Bili so časi, ko spletne tehnologije niso bile zelo zmogljive. Če ste želeli nekaj naprednejšega od besedila in slik – tudi če ste želeli samo vdelati video v spletno stran – ste potrebovali nekakšen vtičnik za brskalnik.

Oglas

ActiveX je bil zasnovan za svet, v katerem ne morete ustvariti zapletenih aplikacij s polnimi funkcijami z uporabo HTML, JavaScript in drugih sodobnih tehnologij, kot lahko danes.

Številne organizacije so uporabile kontrolnike ActiveX, da bi svojim spletnim mestom dodale funkcionalnost. Številna podjetja so tudi interno uporabljala kontrole ActiveX za hitro dostavo programov na svoje poslovne računalnike. Ko bi z Internet Explorerjem dostopali do ene od teh spletnih strani, bi vas pozval, da prenesete kontrolnik ActiveX in zagnali bi program.

Lepo in enostavno—prelahko. Morda bi to letelo v notranjem omrežju podjetja (intranetu), kjer je bilo vse vredno zaupanja. Toda na neukročenem spletu je to povzročilo veliko težav.

ActiveX je bil varnostni nered

Konceptualno je imel ActiveX dve veliki varnostni težavi. Prvič, zlonamerno spletno mesto bi vas lahko pozvalo, da namestite zlonamerni kontrolnik ActiveX, uporabniki Internet Explorerja pa so se zelo enostavno strinjali s pozivom in ga namestili.

Drugič, napaka v zakonitem nadzoru ActiveX bi lahko bila težava. Če ste na primer imeli nameščeno zastarelo različico Adobe Flasha, bi lahko zlonamerno spletno mesto to izkoristilo in pridobilo dostop do celotnega računalnika – saj so imeli kontrolniki ActiveX, kot je Flash, dostop do celotnega računalnika.

To je bila res velika stvar, saj kontrolniki ActiveX pogosto niso imeli sistemov za samodejno posodabljanje.

Oglas

Sčasoma je Microsoft zaostril varnostne nastavitve in dodajal dodatno zaščito, kot sta zaščiteni način in Izboljšan zaščiten način . Internet Explorer ima na primer vgrajeno seznam zastarelih kontrolnikov ActiveX da se noče naložiti. Internet Explorer ponuja dodatna opozorila pred prenosom in nalaganjem kontrolnikov ActiveX. Uvedene so bile druge varnostne nastavitve, ki ustvarjalcem nadzora ActiveX omogočajo, da omejijo kontrole ActiveX, da se na primer izvajajo samo na določenih spletnih mestih.

Primer: Microsoftovo spletno mesto je nekoč zahtevalo kontrolnik ActiveX Akamai Download Manager za prenos določenih datotek. Ta upravitelj prenosov je zahteval popoln dostop do celotnega računalnika in je seveda deloval samo v Internet Explorerju. Ni presenetljivo, da je imel ta program Download Manager lastne varnostne ranljivosti . Ali to res zveni kot dobra rešitev za prenos datotek, namesto da bi se zanašali samo na vgrajeni prenosnik datotek v vašem spletnem brskalniku?

Varnostno opozorilo Internet Explorerja

Kontrolniki ActiveX niso bili večplatformski

ActiveX je bila Microsoftova tehnologija, ki je najbolje delovala v Internet Explorerju v sistemu Windows. Bilo je nekaj vtičnikov, ki so dodali podporo konkurenčnim brskalnikom, kot je Netscape Navigator (prednik Mozilla Firefox), vendar je bilo v resnici vse povezano z Internet Explorerjem.

Tehnično je bil ActiveX večplatformen. Microsoft je dodal podporo ActiveX v Internet Explorer za Mac. Vendar, za razliko od Jave (ki je bila več platform), kontrolniki ActiveX, napisani za Windows, ne bi delovali na Macu. Razvijalci bi morali ustvariti kontrolnike ActiveX za Mac.

Južna Koreja je na primer standardizirala kontrolnik ActiveX, ki je bil potreben za dostop do varnih finančnih in državnih spletnih mest že v 90. letih. Bilo je samo v celoti zaprli leta 2020 , in odvisnost od ActiveXa je ljudi prisilila, da so dolgo časa uporabljali to starodavno, zastarelo tehnologijo. Kot Washington Post je nekoč zapisal, da je Južna Koreja [bila] obtičala z Internet Explorerjem za spletno nakupovanje leta 2013. Članek opisuje, kako so se uporabniki Maca morali zanesti na namizne računalnike v svojih pisarnah, internetnih kavarnah, starih računalnikih oz. Tabor za nakupe na spletu.

Takšne situacije so se na podoben način odigrale tudi drugod: podjetja, ki so standardizirala ActiveX za dostavo notranjih aplikacij, so bila obtičala glede na Internet Explorer v sistemu Windows, dokler niso zapustila ActiveX.

Kako je sodobni splet boljši

Z varnostnega vidika je sodobni splet veliko boljši. Ko naložite spletno stran, se vaš spletni brskalnik naloži in zažene to spletno stran v lastnem izoliranem peskovniku. Spletni brskalnik se ne zanaša na ActiveX, Java, Flash ali katero koli drugo vrsto programa tretjih oseb, ki izvaja del spletne strani.

Oglas

Spletno mesto ne more dostaviti kode, ki ima popoln dostop do vsega v vašem računalniku – ne brez prenosa datoteke EXE, ki se na primer v sistemu Windows izvaja v celoti zunaj brskalnika.

Vaš spletni brskalnik se samodejno posodablja, tako da ni nevarnosti, da bi starodavna koda ostala naokoli in ostala dostopna spletnim stranem, ne da bi dobili varnostne popravke – kot je bilo pri ActiveX.

Preden je bilo konec leta 2020 popolnoma opustil spletne tehnologije , je bila celo vsebina Flash bolj varna kot ActiveX. Google Chrome je na primer zagnal Flash v peskovniku. Zlonamerni programček Flash bi moral uporabiti napako, da bi ušel iz peskovnika v samem Adobe Flashu, in nato uporabil drugo napako, da bi pobegnil iz peskovnika vtičnika v Google Chromu, da bi dobil popoln dostop do računalnika.

In seveda, sodoben splet je večplatformski. Uporabljate lahko kateri koli brskalnik, ki ga izberete, na kateri koli platformi, ki vam je všeč. Z uporabo Internet Explorerja v sistemu Windows niste obtičali, ker spletna mesta, ki jih uporabljate, zahtevajo kontrolnik ActiveX, ki deluje samo v sistemu Windows v tem brskalniku.

In zagotovo, večina razširitev brskalnika, ki jih namestite, ima dostop do vsega, kar počnete v vašem spletnem brskalniku — vendar vsaj nimajo dostopa do celotnega računalnika.

POVEZANO: Ali ste vedeli, da razširitve brskalnika gledajo na vaš bančni račun?

Kontrolniki ActiveX v sistemu Windows 10

Od leta 2021 so kontrolniki ActiveX še vedno podprti v sodobnih različicah sistema Windows 10. uporabite starejši brskalnik Internet Explorer 11 vendar — Microsoft Edge ne podpira kontrolnikov ActiveX.

Nekatera podjetja in druge organizacije še danes uporabljajo kontrolnike ActiveX, zato Microsoft še ni odstranil podpore zanje.

POVEZANO: Adobe Flash je mrtev: Evo, kaj to pomeni

PREBERITE NAPREJ Profilna fotografija Chrisa Hoffmana Chris Hoffman
Chris Hoffman je glavni urednik How-To Geek. Več kot desetletje piše o tehnologiji in dve leti je bil kolumnist PCWorld. Chris je pisal za The New York Times, bil je intervjuvan kot strokovnjak za tehnologijo na televizijskih postajah, kot je miamijev NBC 6, njegovo delo pa so pokrivale novice, kot je BBC. Od leta 2011 je Chris napisal več kot 2000 člankov, ki so bili prebrani skoraj milijardo krat --- in to samo tukaj, na How-To Geek.
Preberite celotno biografijo

Zanimivi Članki