Emlékezve az ActiveX-vezérlőkre, a web legnagyobb hibájára

Az 1996-ban bevezetett Internet Explorer ActiveX-vezérlői rossz ötletet jelentettek a web számára. Komoly biztonsági problémákat okoztak, és segítettek megerősíteni az Internet Explorer dominanciáját a Windows rendszeren, ami ahhoz vezetett a web Firefox előtti stagnálása.

Mik voltak az ActiveX-vezérlők?

ActiveX-vezérlők olyan programtípusok, amelyek beágyazhatók más alkalmazásokba. A Microsoft különféle célokra használta őket – például beágyazhat ActiveX-vezérlőket a Microsoft Office dokumentumaiba. Itt azonban az ActiveX for web-re koncentrálunk. Az 1996-os Internet Explorer 3.0-tól kezdődően a Microsoft hagyta, hogy a webfejlesztők beépítsék az ActiveX-vezérlőket a weboldalukba.

Akkor, amikor meglátogatott egy weboldalt, az Internet Explorer arra kéri Önt, hogy töltse le és futtassa a weboldal által megadott összes ActiveX-vezérlőt.

Az Internet Explorer olyan népszerű plug-injeit, mint az Adobe Flash, az Adobe Shockwave, a RealPlayer, az Apple QuickTime és a Windows Media Player, az ActiveX-vezérlők segítségével valósították meg.

ÖSSZEFÜGGŐ: Mik az ActiveX-vezérlők és miért veszélyesek

A biztonság eleve problémát jelentett

A ’90 -es évek más idõszak volt, ami minket is elhozott veszélyes makrók az Office dokumentumaiban. Eredetileg az ActiveX-vezérlők olyanok voltak, mint a számítógép bármely más programja. Amikor elindított egy ActiveX-vezérlőt, az teljes hozzáféréssel rendelkezett minden a számítógépén.

Más szavakkal, meglátogathat egy weboldalt az Internet Explorer programban, és megjelenhet egy felszólítás arról, hogy a weboldal játékot vagy más programot akart futtatni. Ha beleegyezett, az ActiveX-vezérlő bármit megtehet, amit csak akar, a számítógép összes fájljával és programjával. Könnyen belátható, hogy ez hogyan volt ideális a rosszindulatú programok számára.

Ez éles ellentétben állt a Sun Java technológiájával. Abban az időben a Java-t arra is használták, hogy webböngészőkön belül weblapokon futtassanak programokat. A Java azonban megpróbálta korlátozni, hogy ezek a programok mit tehetnek az a használatával homokozó. Java a webböngészőben végső soron hosszú múltja volt a biztonsági hibáknak– de legalább a Java megpróbálta korlátozni az alkalmazások képességeit.

CNET cikk 1997-től megragadja a Microsoft akkori hozzáállását:

„Bár a Java homokozó magas fokú biztonságot nyújt, nem engedi a felhasználóknak, hogy izgalmas multimédiás játékokat vagy más, teljes funkcionalitású programokat töltsenek le és futtassanak a számítógépeiken” – olvasható a Microsoft biztonsági webhelyén található közleményben. „Ennek eredményeként a felhasználók olyan kódot tölthetnek le, amely teljes hozzáféréssel rendelkezik számítógépük erőforrásaihoz.”

A cikk elmagyarázza, hogy a Microsoft beépítette az Authenticode nevű „elszámoltathatósági” rendszert. A szoftverfejlesztők dönthettek úgy, hogy digitális aláírással bélyegzik az ActiveX-vezérlőket, de ez nem volt kötelező. Azok a fejlesztők, akik rosszindulatú ActiveX-vezérlőket hoztak létre, könnyebben nyomon követhetők – ha a vezérlők aláírását választják.

Mivel a Microsoft kezdetben a becsületrendszerre támaszkodott, könnyen belátható, hogy az ActiveX hogyan vált népszerűvé a rosszindulatú programok és a kémprogramok Internet Explorer felhasználókhoz történő eljuttatásában.

ÖSSZEFÜGGŐ: Miért gyűlöli ennyi geek az Internet Explorert?

Az ActiveX-et a régi webhez tervezték

Volt idő, amikor a webes technológiák nem voltak túl erősek. Ha valami fejlettebbre vágysz, mint a szöveg és a képek – még akkor is, ha csak videót szeretnél beágyazni egy weboldalba -, szükséged volt valamilyen böngészőbővítményre.

Az ActiveX-et egy olyan világra tervezték, ahol nem lehet összetett, teljes funkcionalitású alkalmazásokat létrehozni HTML, JavaScript és más modern technológiák használatával, ahogyan ma is.

Sok szervezet az ActiveX-vezérlőkhöz fordult, hogy funkcionalitást adjon a webhelyeihez. Sok vállalkozás az ActiveX-vezérlőket belsőleg is használta, hogy programokat gyorsan szállítson üzleti számítógépére. Amikor az Internet Explorer egyikével elérte ezeket a weboldalakat, az arra kéri, hogy töltsön le egy ActiveX-vezérlőt, és futtassa a programot.

Szép és könnyű – túl könnyű. Talán ez a vállalat belső hálózatán (intraneten) repülne, ahol minden megbízható. De a megszelídült interneten ez sok problémát okozott.

Az ActiveX biztonsági rendetlenség volt

Fogalmilag az ActiveX-nek két nagy biztonsági problémája volt. Először is, egy rosszindulatú webhely arra késztetheti Önt, hogy telepítsen egy rosszindulatú ActiveX-vezérlőt, és az Internet Explorer felhasználói számára nagyon egyszerű volt elfogadni a parancsot és telepíteni.

Másodszor, egy törvényes ActiveX-vezérlő hibája jelenthet problémát. Ha például az Adobe Flash elavult verziója volt telepítve, akkor egy rosszindulatú webhely kihasználhatja ezt és kihasználhatja az egész számítógépet – mivel az olyan ActiveX-vezérlők, mint a Flash, hozzáférhettek az egész számítógépéhez.

Ez valóban nagy ügy volt, mivel az ActiveX-vezérlők gyakran nem rendelkeztek automatikus frissítési rendszerrel.

Az idő múlásával a Microsoft folyamatosan szigorította a biztonsági beállításokat, és további védelmet adott hozzá, például „Védett mód” és „Továbbfejlesztett védett mód. ” Például az Internet Explorer beépített az elavult ActiveX-vezérlők listája hogy nem hajlandó betölteni. Az Internet Explorer további figyelmeztetéseket ad az ActiveX-vezérlők letöltése és betöltése előtt. Egyéb biztonsági beállításokat vezettek be, amelyek lehetővé tették az ActiveX-vezérlő alkotóinak, hogy az ActiveX-vezérlőket például csak bizonyos webhelyeken futtassák.

Példa: A Microsoft webhelyének egy Akamai “Download Manager” ActiveX-vezérlőre volt szüksége bizonyos fájlok letöltéséhez. Ehhez a letöltéskezelőhöz teljes hozzáférés szükséges a teljes számítógéphez, és természetesen csak az Internet Explorerben futott. Nem meglepő, hogy ennek a Download Manager programnak volt saját biztonsági réseit. Ez valóban jó megoldásnak tűnik a fájlok letöltésére ahelyett, hogy csak a böngésző beépített fájlletöltőjére támaszkodna?

Az ActiveX-vezérlők nem voltak platformokon átívelőek

Az ActiveX egy Microsoft-technológia volt, amely a Windows Internet Explorerben futott a legjobban. Voltak olyan plug-inek, amelyek támogatást nyújtottak a versengő böngészők számára, például a Netscape Navigator (a Mozilla Firefox őse), de valójában az Internet Explorerről volt szó.

Technikailag az ActiveX többplatformos volt. A Microsoft ActiveX-támogatást adott az Internet Explorer for Mac programhoz. A Java-val (amely több platformon volt) ellentétben azonban a Windows számára írt ActiveX-vezérlők nem működnek Mac-en. A fejlesztőknek ActiveX-vezérlőket kell létrehozniuk a Mac számára.

Például Dél-Korea egy olyan ActiveX-vezérlőre szabványosított, amelyre még a ’90 -es években szükség volt a biztonságos pénzügyi és kormányzati webhelyek eléréséhez. Csak teljesen 2020-ban bezárták, és az ActiveX-től való függőség arra kényszerítette az embereket, hogy hosszú ideig használják ezt az ősi, elavult technológiát. Mivel a washingtoni posta egyszer ezt írta: „Dél-Korea [was] A cikk leírja, hogy a Mac-felhasználóknak hogyan kellett támaszkodniuk asztali számítógépekre irodájukban, internetkávézóikban, régi számítógépeiken vagy Kiképzőtábor online vásárolni.

Az ilyen helyzetek máshol is hasonló módon játszódtak le: Azok a vállalatok, amelyek az ActiveX-en szabványosították a belső alkalmazások szállítását, a Windows Internet Explorer-jétől függően addig ragadtak, amíg maguk mögött nem hagyták az ActiveX-et.

Hogyan jobb a modern web

Biztonsági szempontból a modern web sokkal jobb. Amikor betölt egy weboldalt, a böngésző betölti és futtatja azt a weboldalt a saját elszigetelt homokozójában. A webböngésző nem támaszkodik az ActiveX, Java, Flash vagy bármely más harmadik féltől származó programra, amely a weboldal egy részét futtatja.

Nincs olyan módja, hogy egy webhely olyan kódot küldjön, amely teljes hozzáférést biztosít a számítógép minden eleméhez – például anélkül, hogy letöltene egy EXE fájlt, amely például a Windows böngészőjén kívül fut.

A webböngésző automatikusan frissíti önmagát, így nem áll fenn annak kockázata, hogy az ősi kódok körül üljenek és hozzáférhetőek maradjanak a weboldalak számára anélkül, hogy biztonsági javításokat kapnának – mint az ActiveX esetében.

Mielőtt az volt 2020 végén teljesen a webes technológiák mellett döntött, még a Flash-tartalom is biztonságosabb volt, mint az ActiveX. A Google Chrome például egy Flash-t futtatott egy homokozóban. Egy rosszindulatú Flash kisalkalmazásnak hibát kell használnia, hogy elkerülje az Adobe Flash homokozóját, majd egy másik hibát használjon a Google Chrome beépülő homokozójának elkerüléséhez, hogy teljes hozzáférést kapjon a számítógéphez.

És természetesen a modern web több platformon is működik. Bármelyik böngészőt használhatja tetszőleges platformon. Nem ragadt az Internet Explorer használata a Windows rendszeren, mert az Ön által használt webhelyekhez olyan ActiveX-vezérlő szükséges, amely csak az adott böngészőben működik a Windows rendszeren.

És biztos, a legtöbb telepített böngészőbővítmény hozzáféréssel rendelkezik mindenhez, amelyet a webböngészőben végez– de legalább nem férnek hozzá az egész számítógépéhez.

ÖSSZEFÜGGŐ: Tudta, hogy a böngészőbővítmények az Ön bankszámláját nézik?

ActiveX-vezérlők Windows 10 rendszeren

2021-től az ActiveX-vezérlőket továbbra is támogatják a Windows 10 modern verziói. Meg kell használja a régi Internet Explorer 11 böngészőtazonban – a Microsoft Edge nem támogatja az ActiveX-vezérlőket.

Néhány vállalkozás és más szervezet ma is használja az ActiveX-vezérlőket, ezért a Microsoft még nem távolította el a támogatását.

ÖSSZEFÜGGŐ: Az Adobe Flash meghalt: Íme, mit jelent ez