הציג בשנת 1996, פקדי ActiveX של Internet Explorer היו רעיון רע עבור האינטרנט. הם גרמו לבעיות אבטחה רציניות ועזרו למלט את הדומיננטיות של Internet Explorer ב- Windows, אשר הובילה ל הקיפאון מראש פיירפוקס של האינטרנט .
מה היו פקדי ActiveX?
פקדי ActiveX. הם סוג של תוכנית שניתן מוטבע ביישומים אחרים. Microsoft השתמשה בהם למגוון מטרות - לדוגמה, תוכל להטביע פקדי ActiveX במסמכי Microsoft Office. עם זאת, כאן, אנו מתמקדים ActiveX עבור האינטרנט. החל מ- Internet Explorer 3.0 בשנת 1996, מיקרוסופט מאפשרת למפתחי אינטרנט שבץ פקדי ActiveX בדפי האינטרנט שלהם.
אז, כאשר ביקרת בדף אינטרנט, Internet Explorer ינחה אותך להוריד ולהפעיל כל פקדי ActiveX שהדף שצוין.
פופולרי Internet Explorer Plug-Ins כמו Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime, ו- Windows Media Player יושמו באמצעות פקדי ActiveX.
קָשׁוּר: מה פקדי ActiveX הם ולמה הם מסוכנים
הביטחון היה בעיה מלכתחילה
שנות ה -90 היו זמן אחר, שהביא אותנו פקודות מאקרו מסוכנות במסמכי Office . במקור, פקדי ActiveX היו כמו כל תוכנית אחרת במחשב שלך. כאשר אתה פתחה שליטה ActiveX, היה לך גישה מלאה לכל דבר במחשב שלך.
במילים אחרות, ייתכן שתבקר בדף אינטרנט ב- Internet Explorer ולראות בקשה של דף האינטרנט רצה להפעיל משחק או תוכנית אחרת. אם הסכמת, בקרת ActiveX יוכלו לעשות כל דבר שהוא רוצה עם כל הקבצים והתוכניות במחשב שלך. קל לראות איך זה היה אידיאלי עבור תוכנות זדוניות.
זה היה בניגוד מוחלט לטכנולוגיית ג'אווה של סאן. באותו זמן, Java שימש גם כדי להפעיל תוכניות בדפי אינטרנט בתוך דפדפני אינטרנט. עם זאת, ג 'אווה ניסתה להגביל את התוכניות האלה יכול לעשות באמצעות שימוש ארגז חול . Java בדפדפן האינטרנט בסופו של דבר היתה לה היסטוריה ארוכה של פגמים ביטחוניים אבל לפחות ג'אווה ניסתה להגביל את מה שהיישומים יכולים לעשות.
סעיף CNET משנת 1997. לוכדת את הגישה של מיקרוסופט באותה עת:
"בעוד ארגז חול ג'אווה אוכפת רמה גבוהה של אבטחה, היא אינה מאפשרת למשתמשים להוריד ולהפעיל משחקי מולטימדיה מרגשים או תוכניות אחרות שבוצעים למחשבים," הצהרה באתר האבטחה של מיקרוסופט קוראת. "כתוצאה מכך, משתמשים עשויים לרצות להוריד קוד בעל גישה מלאה למשאבי המחשבים שלהם".
המאמר ממשיך להסביר כי מיקרוסופט כללה מערכת "אחריות" בשם Authenticode. מפתחי תוכנה יכולים לבחור להחבל פקדי ActiveX שלהם עם חתימה דיגיטלית, אבל זה לא היה חובה. מפתחים שיצרו פקדי ActiveX זדוניים יכולים להיות מעוקבים בקלות רבה יותר - אם הם בחרו לחתום על הפקדים שלהם.
עם Microsoft בתחילה להסתמך על מערכת הכבוד, קל לראות כיצד ActiveX הפך דרך פופולרית לספק תוכנות זדוניות ותוכנות ריגול למשתמשים Internet Explorer.
קָשׁוּר: למה כל כך הרבה Geeks שונא Internet Explorer?
ActiveX תוכנן עבור האינטרנט הישן
היה זמן שבו טכנולוגיות אינטרנט לא היו חזקים מאוד. אם אתה רוצה משהו מתקדם יותר מאשר טקסט ותמונות - גם אם רק רצית להטביע וידאו בדף אינטרנט - אתה צריך איזה סוג של התוספת דפדפן.
ActiveX תוכנן לעולם שבו לא תוכל ליצור יישומים מורכבים, מלאים בהשתתפות באמצעות HTML, JavaScript, וטכנולוגיות מודרניות אחרות, כפי שאתה יכול היום.
ארגונים רבים פנו לבקרות ActiveX כדי להוסיף פונקציונליות לאתרי האינטרנט שלהם. עסקים רבים בשימוש בקרות ActiveX באופן פנימי, גם כדי לספק במהירות תוכניות מחשבים אישיים שלהם. כאשר אתה ניגש לאחד מדפי האינטרנט האלה עם Internet Explorer, הוא ינחה אותך להוריד שליטת ActiveX ואתה תהיה מפעיל את התוכנית.
נחמד וקל מדי. אולי זה יטוס על רשת פנימית של החברה (אינטראנט) שבו הכל היה אמין. אבל באינטרנט untamed, זה גרם הרבה בעיות.
ActiveX היה בלגן אבטחה
מבחינה מושגית, היו ActiveX שתי בעיות אבטחה גדולות. ראשית, אתר זדוני היה יכול לבקש ממך להתקין פקד ActiveX זדוני, וזה היה מאוד קל עבור משתמשי אינטרנט אקספלורר להסכים הבשורה ולהתקין אותה.
שנית, באג פקד ActiveX לגיטימי עלול להיות בעיה. אם היה לך גרסה מיושנת של Adobe Flash מותקן, למשל, אתר זדוני יכול לנצל את זה ואת להשיג גישה כולו מחשב מאז פקדי ActiveX כמו פלאש הייתה גישה למחשב כולו.
זה היה עניין גדול, באמת, מאז פקדי ActiveX ופעמים רבים לא היו מערכות עדכון אוטומטיות.
במשך הזמן, מיקרוסופט שמרה הידוק בהגדרות האבטחה והוספת הגנה נוספת כמו "Protected Mode" ו- " מצב משופר מוגן . " לדוגמה, Internet Explorer יש מובנית רשימה של פקדי ActiveX מיושנת כי זה מסרב לטעון. Internet Explorer מספק אזהרות נוספות לפני פקדי ActiveX הוריד וטעינה. הגדרות אבטחה אחרות הוכנסו שמאפשרות יוצרי פקד ActiveX להגביל פקדי ActiveX לרוץ רק באתרים מסוימים, למשל.
מקרה לדוגמא: אתר האינטרנט של מיקרוסופט פעם נדרש Akamai "מנהל הורדות" פקד ActiveX להוריד קבצים מסוימים. מנהל הורדות זה נדרש גישה מלאה למחשב כולו שלך, וכמובן, זה רק רץ ב- Internet Explorer. באופן לא מפתיע, תכנית מנהל הורדות זה הייתה פגיעויות אבטחה משלו . האם זה באמת נשמע כמו פתרון טוב עבור הורדת קבצים במקום רק הסתמכות על דפדפן האינטרנט שלך מובנה של קובץ הורדה?
פקדי ActiveX לא היו צולבים פלטפורמה
ActiveX היה טכנולוגית מיקרוסופט כי הרץ הכי טוב ב- Internet Explorer ב- Windows. היו כמה תוספות כי הוסיפה תמיכה בדפדפנים מתחרים, כמו Netscape Navigator (האב הקדמון של Mozilla Firefox), אבל זה היה באמת כל העניין של Internet Explorer.
מבחינה טכנית, ActiveX היה חוצה פלטפורמות. מיקרוסופט הוסיפה תמיכה ActiveX ל- Internet Explorer עבור Mac. עם זאת, בשונה עם ג'אווה (אשר היה חוצת פלטפורמות), פקדי ActiveX שנכתבו עבור Windows לא יעבדו על מק. מפתחים יצטרכו ליצור פקדי ActiveX עבור Mac.
לדוגמא, דרום קוריאה טופלה על פקד ActiveX נדרש גישה מאובטח אתרים פיננסיים וממשלתיים חזרה בשנתי ה -90. זה היה רק מלא נסגר 2020 תלות, ועל ActiveX אלצה אנשים להשתמש כי טכנולוגיה עתיקה, מיושנת במשך זמן רב. כמו וושינגטון פוסט כתב פעם, "דרום קוריאה [הייתה] תקוע עם Internet Explorer עבור קניות מקוונות" בשנת 2013. המאמר מתאר כיצד משתמשי מקינטוש נאלצו להסתמך על מחשבים שולחניים במשרדיהם, קפה אינטרנט, מחשבים ישנים, או Boot Camp כדי לבצע רכישות באינטרנט.
במצבים כאלו תשושים בדרכים דומות במקומות אחרים: חברות טופלו על ActiveX עבור אספקת יישומים פנימיים היו תקוע תלוי האינטרנט אקספלורר ב- Windows עד שהם עזבו ActiveX מאחורי.
איך לטובת האינטרנט המודרנית
מבחינה בטחונית, האינטרנט המודרני הוא הרבה יותר טוב. בעת טעינת דף אינטרנט, המון בדפדפן האינטרנט שלך פועל כי דף האינטרנט בארגז החול מבודד משלו. דפדפן האינטרנט אינו מסתמך על ActiveX, ג'אווה, פלאש, או כל סוג אחר של תוכנית צד שלישי שפועל במסגרת דף אינטרנט.
אין דרך עבור אתר למסור קוד שמקבל גישה מלאה לכל דבר במחשב אישי-לא בלי הורדת קובץ EXE כי ריצות לגמרי מחוץ לדפדפן ב- Windows, למשל.
דפדפן האינטרנט שלך באופן אוטומטי מעדכן את עצמו, כך שאין סיכון של קוד עתיק יושב סביב הנותר נגיש דפי אינטרנט בלי להסתבך טלאים-כבטוחה הייתה עם ActiveX.
לפני זה היה מנותץ לחלוטין לטובת טכנולוגיות אינטרנט בסוף 2020 אפילו, תוכן פלאש היה יותר בטוח מאשר ActiveX. Google Chrome, למשל, רץ פלאש בתוך ארגז חול. יישומון פלאש זדוני יצטרך להשתמש פגם לחמוק מארגז החול ב- Adobe Flash עצמו, ולאחר מכן להשתמש פגם אחר לברוח תוספת ארגז החול ב- Google Chrome כדי לקבל גישה מלאה למחשב.
וכמובן, האינטרנט המודרני הוא חוצה פלטפורמה. אתה יכול להשתמש בדפדפן שאתה בוחר על כל פלטפורמה שאתה אוהב. אינך תקוע באמצעות Internet Explorer ב- Windows, משום שהאתרים שבהם אתה משתמש דורשים בקרת ActiveX שרק פועלת ב- Windows בדפדפן אחד.
ובטוח, רוב הרחבות הדפדפן שאתה מתקין יש גישה לכל מה שאתה עושה בדפדפן האינטרנט שלך אבל לפחות אין להם גישה למחשב כולו שלך.
קָשׁוּר: האם ידעת הרחבות הדפדפן מתבוננות בחשבון הבנק שלך?
פקדי ActiveX ב- Windows 10
החל ב 2021, פקדי ActiveX עדיין נתמכים בגירסאות מודרניות של Windows 10. אתה צריך השתמש בדפדפן Legacy Internet Explorer 11 , עם זאת-Microsoft Edge אינו תומך בקרות ActiveX.
עסקים מסוימים וארגונים אחרים עדיין משתמשים בפקדי ActiveX כיום, כך ש- Microsoft לא הסירה את התמיכה בו.
קָשׁוּר: Adobe Flash הוא מת: הנה מה זה אומר
