In 1996 geïntroduceerd, waren de ActiveX-besturingselementen van Internet Explorer een slecht idee voor het web. Ze veroorzaakten ernstige veiligheidsproblemen en hielpen cement de dominantie van Internet Explorer op Windows, die leidde tot de pre-firefox stagnatie van het web .
Wat waren ActiveX-controles?
ActiveX-besturingselementen zijn een type programma dat kan worden ingebed in andere toepassingen. Microsoft gebruikte ze voor een verscheidenheid aan doeleinden - u kunt bijvoorbeeld ActiveX-bedieningselementen in Microsoft Office-documenten insluiten. Hier concentreren we ons echter op ActiveX voor het web. Beginnend met Internet Explorer 3.0 In 1996 laat Microsoft Web-ontwikkelaars ActiveX-besturingselementen in hun webpagina's insluiten.
Vervolgens, wanneer u een webpagina hebt bezocht, zou Internet Explorer u vragen om ActiveX-bedieningselementen te downloaden en uit te voeren die de opgegeven webpagina is opgegeven.
Populaire Internet Explorer Plug-ins Like Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime en Windows Media Player werden geïmplementeerd met behulp van ActiveX-bedieningselementen.
VERWANT: Welke ActiveX-besturingselementen zijn en waarom ze gevaarlijk zijn
Beveiliging was vanaf het begin een probleem
De jaren '90 waren een andere tijd, die ons ook heeft gebracht Gevaarlijke macro's in office-documenten . Oorspronkelijk waren ActiveX-besturingselementen zoals elk ander programma op uw computer. Toen u een ActiveX-besturing lanceerde, had deze volledige toegang tot alles op uw computer.
Met andere woorden, u kunt een webpagina in Internet Explorer bezoeken en een prompt bekijken waarin staat dat de webpagina een spel of een ander programma wilde uitvoeren. Als u het ermee eens bent, zou ActiveX Control u alles kunnen doen wat het met alle bestanden en programma's op uw computer wilden. Het is gemakkelijk om te zien hoe dit ideaal was voor malware.
Dit was in schril contrast met de Java-technologie van Sun. Op dat moment werd Java ook gebruikt om programma's op webpagina's in webbrowsers uit te voeren. Java probeerde echter te beperken wat deze programma's kunnen doen door het gebruik van een zandbak . Java in de webbrowser uiteindelijk had een lange geschiedenis van veiligheidsfouten - Maar op zijn minst Java probeerde te beperken welke applicaties kunnen doen.
Een CNET-artikel Vanaf 1997 vangt de houding van Microsoft op dat moment:
"Terwijl de Java Sandbox een hoge mate van beveiliging afvalt, laat het gebruikers geen spannende multimediamames of andere full-featured-programma's op hun computers downloaden en uitvoeren," een verklaring over de beveiligingssite van Microsoft. "Als gevolg hiervan kunnen gebruikers code downloaden die volledige toegang heeft tot de bronnen van hun computers."
Het artikel gaat door om uit te leggen dat Microsoft een "Accountability" -systeem met de naam Authenticode bevatte. Softwareontwikkelaars kunnen ervoor kiezen om hun ActiveX-bedieningselementen te stampen met een digitale handtekening, maar het was niet verplicht. Ontwikkelaars die schadelijke ActiveX-besturingselementen hebben gemaakt, kunnen gemakkelijker worden gevolgd - als ze ervoor kozen om hun bedieningselementen te ondertekenen.
Met Microsoft vertrouwt het in eerste instantie op het EER-systeem, het is gemakkelijk om te zien hoe ActiveX een populaire manier werd om malware en spyware te leveren aan Internet Explorer-gebruikers.
VERWANT: Waarom haten zoveel geeks internetverkenner?
ActiveX is ontworpen voor het oude web
Er was een tijd waarin webtechnologieën niet erg krachtig waren. Als je iets geavanceerd wilde dan tekst en afbeeldingen - zelfs als je gewoon een video in een webpagina wilde insluiten - heb je een soort browser plug-in nodig.
ActiveX is ontworpen voor een wereld waarin je geen complexe, full-featured-applicaties kon maken met behulp van HTML, JavaScript en andere moderne technologieën, zoals je vandaag kunt.
Veel organisaties wendden zich tot ActiveX-besturingselementen om functionaliteit aan hun websites toe te voegen. Veel bedrijven gebruikten ook intern ActiveX-besturingselementen om snel programma's aan hun zakelijke pc's te leveren. Wanneer u een van deze webpagina's hebt geopend met Internet Explorer, zou het u vragen om een ActiveX-besturing te downloaden en u het programma gebruikt.
Leuk en gemakkelijk te gemakkelijk. Misschien zou dat op het interne netwerk van een bedrijf (intranet) vliegen waar alles betrouwbaar was. Maar op het ongetemde web veroorzaakte dit veel problemen.
ActiveX was een beveiligingspoed
Conceptueel had ActiveX twee grote beveiligingsproblemen. Ten eerste kan een kwaadwillende website u vragen om een kwaadwillende ActiveX-besturing te installeren, en het was zeer eenvoudig voor Internet Explorer-gebruikers om akkoord te gaan met de prompt en het installeren.
Ten tweede kan een bug in een legitieme ActiveX-besturing een probleem zijn. Als u bijvoorbeeld een verouderde versie van Adobe Flash had geïnstalleerd, kan bijvoorbeeld een kwaadwillende website van dat profiteren en toegang krijgen tot uw volledige computer - omdat ActiveX-besturingselementen zoals Flash toegang hadden tot uw gehele computer.
Dit was echt een grote deal, omdat ActiveX-besturingselementen vaak geen automatische updatesystemen hadden.
Na verloop van tijd bleef Microsoft de beveiligingsinstellingen aangescherpt en extra bescherming toevoegen zoals "beschermde modus" en " Verbeterde beschermde modus . " Internet Explorer heeft bijvoorbeeld een ingebouwde Lijst van verouderde ActiveX-besturingselementen dat het weigert te laden. Internet Explorer biedt extra waarschuwingen voordat u ActiveX-besturingselementen downloadt en laden. Andere beveiligingsinstellingen werden geïntroduceerd waarmee ActiveX Control Creators ActiveX-besturingselementen beperken om alleen op bepaalde websites te worden uitgevoerd.
Case in punt: Microsoft's Website vereiste eenmaal een Akamai "Download Manager" ActiveX-besturing om bepaalde bestanden te downloaden. Deze downloadmanager vereiste volledige toegang tot uw hele computer, en natuurlijk liep het alleen in Internet Explorer. Niet verwonderlijk, dit downloadmanager-programma had zijn eigen beveiligingskwetsbaarheden . Klinkt dat echt als een goede oplossing voor het downloaden van bestanden in plaats van gewoon te vertrouwen op de ingebouwde bestand Downloader van je webbrowser?
ActiveX-besturingselementen waren geen cross-platform
ActiveX was een Microsoft-technologie die het beste liep in Internet Explorer op Windows. Er waren enkele plug-ins die ondersteuning aan concurrerende browsers hebben toegevoegd, zoals Netscape Navigator (de voorouder van Mozilla Firefox), maar het was echt alles over Internet Explorer.
Technisch gezien was ActiveX cross-platform. Microsoft heeft ActiveX-ondersteuning toegevoegd aan Internet Explorer voor Mac. Echter, in tegenstelling tot Java (die cross-platform was), zou ActiveX-bedieningselementen die voor Windows zijn geschreven, niet op een Mac werken. Ontwikkelaars zouden ActiveX-bedieningselementen voor de Mac moeten maken.
Zuid-Korea gestandaardiseerd op een ActiveX-besturing die nodig was om toegang te krijgen tot veilige financiële en overheidswebsites in de jaren '90. Het was alleen volledig stop in 2020 , en afhankelijkheid van ActiveX dwong mensen om die oude, verouderde technologie voor een lange tijd te gebruiken. Als de Washington Post Eenmaal schreef: "Zuid-Korea [was] vast met Internet Explorer voor online winkelen" in 2013. Het artikel beschrijft hoe Mac-gebruikers moesten vertrouwen op desktopcomputers in hun kantoren, internetcafés, oude computers, of Laarskamp om online aankopen te doen.
Dergelijke situaties speelden op vergelijkbare manieren op andere plaatsen: bedrijven die zijn gestandaardiseerd op ActiveX voor het leveren van interne toepassingen zaten vast, afhankelijk van Internet Explorer op Windows totdat ze ActiveX achter hebben achtergelaten.
Hoe het moderne web beter is
Vanuit een beveiligingsperspectief is het moderne web veel beter. Wanneer u een webpagina laadt, laadt u op uw webbrowser en voert deze webpagina uit in zijn eigen geïsoleerde sandbox. De webbrowser is niet afhankelijk van ActiveX, Java, Flash of enig ander type programma van derden dat een deel van de webpagina uitvoert.
Er is geen manier voor een website om code te leveren die volledige toegang krijgt tot alles op uw computer - niet zonder een EXE-bestand te downloaden dat bijvoorbeeld volledig buiten de browser op Windows wordt uitgevoerd.
Uw webbrowser werkt zichzelf automatisch bij, dus er is geen risico op de oude code die rond zit en toegankelijk is voor webpagina's zonder beveiligingspatches te krijgen - zoals er met ActiveX was.
Voordat het was helemaal ten gunste van webtechnologieën aan het einde van 2020 , zelfs flash-inhoud was veiliger dan ActiveX. Google Chrome, liep bijvoorbeeld Flash in een zandbak. Een kwaadwillende flash-applet zou een fout moeten gebruiken om aan de Sandbox in Adobe Flash zelf te ontsnappen en vervolgens een andere fout te gebruiken om te ontsnappen aan de plug-in sandbox in Google Chrome om volledige toegang tot de computer te krijgen.
En natuurlijk is het moderne web cross-platform. U kunt elke browser gebruiken die u kiest op welk platform dat u wilt. U zit niet vast met Internet Explorer op Windows omdat de websites die u gebruikt een ActiveX-besturing vereist die alleen werkt op Windows in die ene browser.
En zeker, De meeste browser-extensies die u installeert hebben toegang tot alles wat u doet in uw webbrowser - Maar ze hebben tenminste geen toegang tot je hele computer.
VERWANT: Wist je dat browserextensies naar je bankrekening kijken?
ActiveX-besturingselementen op Windows 10
Vanaf 2021 worden ActiveX-besturingselementen nog steeds ondersteund op moderne versies van Windows 10. U moet Gebruik de Legacy Internet Explorer 11-browser , echter-Microsoft Edge ondersteunt geen ActiveX-bedieningselementen.
Sommige bedrijven en andere organisaties gebruiken vandaag nog steeds ActiveX-besturingselementen, dus Microsoft heeft er nog geen ondersteuning voor verwijderd.
VERWANT: Adobe Flash is dood: hier betekent dat
