Запомнянето на ActiveX контролите, най-голямата грешка в мрежата

Пряк път за Internet Explorer на работния плот с Windows 10.



Въведени през 1996 г., ActiveX контролите на Internet Explorer бяха лоша идея за мрежата. Те предизвикаха сериозни проблеми със сигурността и помогнаха за укрепване на доминирането на Internet Explorer в Windows, което доведе до стагнацията на мрежата преди Firefox .

Какво представляваха ActiveX контролите?

ActiveX контроли са вид програма, която може да бъде вградена в други приложения. Microsoft ги използва за различни цели – например можете да вградите ActiveX контроли в документи на Microsoft Office. Тук обаче се фокусираме върху ActiveX за мрежата. Започвайки с Internet Explorer 3.0 през 1996 г., Microsoft позволява на уеб разработчиците да вграждат ActiveX контроли в своите уеб страници.





Тогава, когато сте посетили уеб страница, Internet Explorer ще ви подкани да изтеглите и стартирате всички ActiveX контроли, посочени от уеб страницата.

Популярни добавки за Internet Explorer като Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime и Windows Media Player бяха внедрени с помощта на ActiveX контроли.



Internet Explorer 11

СВЪРЗАНИ: Какво представляват ActiveX контролите и защо са опасни

Сигурността беше проблем от самото начало

90-те години бяха различно време, което също ни донесе опасни макроси в документи на Office . Първоначално ActiveX контролите бяха като всяка друга програма на вашия компютър. Когато стартирате ActiveX контрола, тя има пълен достъп до всичко на вашия компютър.



Реклама

С други думи, може да посетите уеб страница в Internet Explorer и да видите подкана, че уеб страницата иска да стартира игра или друга програма. Ако се съгласите, ActiveX контролът ще може да прави каквото си поиска с всички файлове и програми на вашия компютър. Лесно е да се види как това е идеално за зловреден софтуер.

Това беше в рязък контраст с Java технологията на Sun. По това време Java се използваше и за стартиране на програми на уеб страници в уеб браузъри. Въпреки това, Java се опита да ограничи това, което тези програми могат да правят чрез използването на a пясъчник . Java в уеб браузъра в крайна сметка имаше дълга история на пропуски в сигурността — но поне Java се опитваше да ограничи това, което могат да правят приложенията.

Статия на CNET от 1997г улавя отношението на Microsoft по това време:

Докато тестовата среда на Java налага висока степен на сигурност, тя не позволява на потребителите да изтеглят и стартират вълнуващи мултимедийни игри или други пълнофункционални програми на своите компютри, се казва в изявление на сайта за сигурност на Microsoft. В резултат на това потребителите може да искат да изтеглят код, който има пълен достъп до ресурсите на техните компютри.

Статията продължава да обяснява, че Microsoft включва система за отчетност, наречена Authenticode. Разработчиците на софтуер можеха да изберат да подпечатат своите ActiveX контроли с цифров подпис, но това не беше задължително. Разработчиците, създали злонамерени ActiveX контроли, биха могли да бъдат проследени по-лесно - ако изберат да подпишат своите контроли.

Тъй като Microsoft първоначално разчита на системата на честта, е лесно да се види как ActiveX се превърна в популярен начин за доставяне на зловреден и шпионски софтуер на потребителите на Internet Explorer.

СВЪРЗАНИ: Защо толкова много маниаци мразят Internet Explorer?

ActiveX е проектиран за старата мрежа

Имаше време, когато уеб технологиите не бяха много мощни. Ако искате нещо по-разширено от текст и изображения — дори ако просто искате да вградите видео в уеб страница — имате нужда от някакъв вид приставка за браузър.

Реклама

ActiveX е проектиран за свят, в който не можете да създавате сложни, пълнофункционални приложения, използващи HTML, JavaScript и други съвременни технологии, както можете днес.

Много организации се обърнаха към ActiveX контроли, за да добавят функционалност към своите уебсайтове. Много фирми също използваха ActiveX контроли вътрешно, за да доставят бързо програми на своите бизнес компютри. Когато отворите една от тези уеб страници с Internet Explorer, той ще ви подкани да изтеглите ActiveX контрола и ще стартирате програмата.

Хубаво и лесно – твърде лесно. Може би това ще лети във вътрешната мрежа на компанията (интранет), където всичко е надеждно. Но в необузданата мрежа това предизвика много проблеми.

ActiveX беше проблем със сигурността

Концептуално ActiveX имаше два големи проблема със сигурността. Първо, злонамерен уебсайт може да ви подкани да инсталирате злонамерена ActiveX контрола и беше много лесно за потребителите на Internet Explorer да се съгласят с подканата и да я инсталират.

Второ, грешка в легитимна ActiveX контрола може да бъде проблем. Ако имате инсталирана остаряла версия на Adobe Flash, например, злонамерен уебсайт може да се възползва от това и да получи достъп до целия ви компютър — тъй като ActiveX контроли като Flash имаха достъп до целия ви компютър.

Това наистина беше голяма работа, тъй като ActiveX контролите често нямаха системи за автоматично актуализиране.

Реклама

С течение на времето Microsoft продължи да затяга настройките за сигурност и да добавя допълнителна защита като защитен режим и Подобрен защитен режим . Например Internet Explorer има вградена списък с остарели ActiveX контроли че отказва да се зареди. Internet Explorer предоставя допълнителни предупреждения преди изтегляне и зареждане на ActiveX контроли. Бяха въведени и други настройки за сигурност, които позволяват на създателите на ActiveX контроли да ограничат ActiveX контролите да се изпълняват само на определени уебсайтове, например.

Пример: Уебсайтът на Microsoft някога изискваше ActiveX контрола на Akamai Download Manager за изтегляне на определени файлове. Този Download Manager изисква пълен достъп до целия ви компютър и, разбира се, работи само в Internet Explorer. Не е изненадващо, че тази програма Download Manager имаше собствените си уязвимости в сигурността . Това наистина ли звучи като добро решение за изтегляне на файлове, вместо просто да разчитате на вградената програма за изтегляне на файлове във вашия уеб браузър?

Предупреждение за сигурността на Internet Explorer

ActiveX контролите не са междуплатформени

ActiveX беше технология на Microsoft, която работи най-добре в Internet Explorer на Windows. Имаше някои добавки, които добавяха поддръжка към конкуриращи се браузъри, като Netscape Navigator (прародител на Mozilla Firefox), но всъщност всичко беше за Internet Explorer.

Технически ActiveX беше кросплатформен. Microsoft добави поддръжка на ActiveX към Internet Explorer за Mac. Въпреки това, за разлика от Java (която беше междуплатформена), ActiveX контролите, написани за Windows, няма да работят на Mac. Разработчиците ще трябва да създадат ActiveX контроли за Mac.

Например, Южна Корея стандартизира ActiveX контрол, който е бил необходим за достъп до сигурни финансови и правителствени уебсайтове през 90-те години. Беше само напълно закрит през 2020 г , и зависимостта от ActiveX принудиха хората да използват тази древна, остаряла технология за дълго време. Както Вашингтон пост веднъж написано, Южна Корея [беше] останала с Internet Explorer за онлайн пазаруване през 2013 г. Статията описва как потребителите на Mac трябваше да разчитат на настолни компютри в своите офиси, интернет кафенета, стари компютри или Boot Camp да правите покупки онлайн.

Подобни ситуации се разиграват по подобен начин на други места: Компаниите, които стандартизираха ActiveX за доставяне на вътрешни приложения, бяха блокирани в зависимост от Internet Explorer на Windows, докато не изоставиха ActiveX.

Как модерната мрежа е по-добра

От гледна точка на сигурността, съвременната мрежа е много по-добра. Когато заредите уеб страница, вашият уеб браузър зарежда и стартира тази уеб страница в собствена изолирана пясъчна среда. Уеб браузърът не разчита на ActiveX, Java, Flash или друг тип програма на трети страни, която изпълнява част от уеб страницата.

Реклама

Няма начин уебсайт да достави код, който получава пълен достъп до всичко на вашия компютър – не и без да изтеглите EXE файл, който работи изцяло извън браузъра на Windows, например.

Вашият уеб браузър автоматично се актуализира, така че няма риск древен код да стои наоколо и да остане достъпен за уеб страници, без да получавате корекции за сигурност – както беше с ActiveX.

Преди да е било се отказа изцяло в полза на уеб технологиите в края на 2020 г , дори Flash съдържанието беше по-сигурно от ActiveX. Google Chrome, например, стартира Flash в пясъчна кутия. Злонамерен Flash аплет ще трябва да използва недостатък, за да избяга от пясъчната кутия в самия Adobe Flash, и след това да използва друг недостатък, за да избяга от пясъчната кутия на приставката в Google Chrome, за да получи пълен достъп до компютъра.

И разбира се, съвременната мрежа е кросплатформена. Можете да използвате всеки браузър, който изберете, на каквато платформа желаете. Не сте останали да използвате Internet Explorer в Windows, защото уебсайтовете, които използвате, изискват ActiveX контрола, която работи само в Windows в този браузър.

и сигурно, повечето разширения на браузъра, които инсталирате, имат достъп до всичко, което правите във вашия уеб браузър — но поне те нямат достъп до целия ви компютър.

СВЪРЗАНИ: Знаете ли, че разширенията на браузъра преглеждат банковата ви сметка?

ActiveX контроли в Windows 10

От 2021 г. ActiveX контролите все още се поддържат в съвременните версии на Windows 10. Трябва да използвайте наследения браузър Internet Explorer 11 , обаче — Microsoft Edge не поддържа ActiveX контроли.

Някои фирми и други организации все още използват ActiveX контроли днес, така че Microsoft все още не е премахнала поддръжката за тях.

СВЪРЗАНИ: Adobe Flash е мъртъв: Ето какво означава това

ПРОЧЕТЕТЕ СЛЕДВАЩО Снимка на профила за Крис Хофман Крис Хофман
Крис Хофман е главен редактор на How-To Geek. Той пише за технологиите повече от десетилетие и е бил колумнист на PCWorld в продължение на две години. Крис е писал за The New York Times, интервюиран е като технологичен експерт в телевизионни станции като NBC 6 в Маями и работата му е отразявана от новинарски издания като BBC. От 2011 г. насам Крис е написал над 2000 статии, които са прочетени близо един милиард пъти --- и това е само тук, в How-To Geek.
Прочетете пълната биография

Интересни Статии