Infördes 1996, Internet Explorer ActiveX-kontroller var en dålig idé för webben. De orsakade allvarliga säkerhetsproblem och hjälpte cement dominans Internet Explorer på Windows, vilket ledde till pre-Firefox stagnation av banan .
Vilka var ActiveX-kontroller?
ActiveX-kontroller är en typ av program som kan bäddas in i andra applikationer. Microsoft använde dem för en mängd olika ändamål, till exempel, kan du bädda in ActiveX-kontroller i Microsoft Office-dokument. Men här, vi fokuserar på ActiveX för webben. Från och med Internet Explorer 3.0 1996 Microsoft låter webbutvecklare bädda ActiveX-kontroller på sina webbsidor.
Då, när du besökte en webbsida, skulle Internet Explorer uppmana dig att ladda ner och köra några ActiveX-kontroller som webbsidan anges.
Populära Internet Explorer plug-ins som Adobe Flash, Adobe Shockwave, Realplayer, Apple QuickTime och Windows Media Player har genomförts med hjälp av ActiveX-kontroller.
RELATERAD: Vad ActiveX-kontroller är och varför de är farliga
Säkerhet var ett problem från start
90-talet var en annan tid, vilket också gett oss farliga makron i Office-dokument . Ursprungligen ActiveX-kontroller var som alla andra program på datorn. När du startade en ActiveX-kontroll, hade tillgång till allt på datorn.
Med andra ord kan du besöka en webbsida i Internet Explorer och se en prompt som anger att webbsidan ville köra ett spel eller annat program. Om du kommit överens om, skulle ActiveX-kontroll ska kunna göra något man ville med alla filer och program på din dator. Det är lätt att se hur detta var perfekt för skadlig kod.
Detta var i skarp kontrast till Suns Java-teknik. Vid den tiden var Java används också för att köra program på webbsidor inne webbläsare. Men Java försökte begränsa vad dessa program skulle kunna göra genom att använda en sandlåda . Java i webbläsaren slutligen hade en lång historia av säkerhetsbrister -men minst Java försökte begränsa vilka program kunde göra.
En CNET artikeln från 1997 fångar Microsofts inställning vid den tiden:
”Även om Java sandlådan verkställer en hög grad av säkerhet, inte låta användare ladda ner och köra spännande multimediaspel eller andra fullfjädrad program på sina datorer,” ett uttalande på Microsofts säkerhets plats läser. ”Som ett resultat kan användarna vill hämta koden som har full tillgång till sina datorer resurser.”
Artikeln fortsätter med att förklara att Microsoft inkluderade en ”ansvarighet” system som heter Authenticode. Mjukvaruutvecklare kan välja att stämpla sina ActiveX-kontroller med en digital signatur, men det var inte obligatoriskt. Utvecklare som skapade skadliga ActiveX-kontroller kan spåras ner mer lätt om de valde att signera sina kontroller.
Med Microsoft initialt förlita sig på ära, är det lätt att se hur ActiveX blev ett populärt sätt att leverera skadlig kod och spionprogram till Internet Explorer-användare.
RELATERAD: Varför så många Geeks hatar Internet Explorer?
ActiveX var avsedd för den gamla webben
Det fanns en tid då webbteknik var inte mycket kraftfullt. Om du ville ha något mer avancerad än text och bilder, även om du bara vill bädda in en video på en webbsida, du behövs någon form av browser plug-in.
ActiveX var avsedd för en värld där du inte kan skapa komplexa, fullfjädrade program som använder HTML, JavaScript, och andra moderna tekniker, som du kan idag.
Många organisationer vände sig till ActiveX-kontroller för att lägga till funktioner till deras webbplatser. Många företag används ActiveX-kontroller internt också för att snabbt leverera program till sina företagsdatorer. När du åt en av dessa webbsidor med Internet Explorer, skulle det uppmana dig att hämta en ActiveX-kontroll och du skulle köra programmet.
Trevligt och enkelt alltför lätt. Kanske skulle flyga på ett företags interna nätverk (intranät) där allt var trovärdig. Men på den otämjda webben, orsakade detta en hel del problem.
ActiveX fanns en säkerhets Mess
Konceptuellt ActiveX hade två stora säkerhetsproblem. För det första kan en skadlig webbplats uppmanar dig att installera en skadlig ActiveX-kontroll, och det var mycket lätt för Internet Explorer-användare att gå med på en snabb och installera den.
För det andra kan ett fel i en legitim ActiveX-kontroll vara ett problem. Om du hade en gammal version av Adobe Flash installerad, till exempel, kan en skadlig webbplats dra nytta av det och få tillgång till hela datorn-sedan ActiveX-kontroller som Flash hade tillgång till hela datorn.
Detta var en stor sak, egentligen, eftersom ActiveX-kontroller ofta inte har automatiska uppdaterings.
Med tiden Microsoft höll dra åt säkerhetsinställningarna och lägga till extra skydd som ”Skyddat läge” och ” Förbättrad skyddat läge . Till exempel har Internet Explorer en inbyggd lista över föråldrade ActiveX-kontroller att det vägrar att ladda. Internet Explorer ger ytterligare varningar innan du laddar ner och lastning ActiveX-kontroller. Andra säkerhetsinställningar infördes som låter ActiveX-kontrollen skapare begränsa ActiveX-kontroller för att bara köra på vissa webbplatser, till exempel.
Ett typexempel: Microsofts webbplats när krävs en Akamai ”Download Manager” ActiveX-kontroll för att ladda ner vissa filer. Detta Download Manager krävs tillgång till hela datorn, och naturligtvis, det bara sprang i Internet Explorer. Föga förvånande, hade denna Download Manager sina egna säkerhetsproblem . Betyder det verkligen låter som en bra lösning för att ladda ner filer i stället för att bara förlita sig på din webbläsares inbyggda fil downloader?
ActiveX-kontroller Var inte Cross-Platform
ActiveX var en Microsoft-teknik som körde bäst i Internet Explorer i Windows. Det fanns vissa plug-ins som lagt till stöd för konkurrerande webbläsare som Netscape Navigator (förfader Mozilla Firefox), men det var verkligen allt om Internet Explorer.
Tekniskt sett ActiveX var plattformsoberoende. Microsoft lagt ActiveX stöd till Internet Explorer för Mac. Men till skillnad från Java (som var plattformsoberoende), ActiveX-kontroller skrivna för Windows inte skulle fungera på en Mac. Utvecklare måste skapa ActiveX-kontroller för Mac.
Till exempel, Sydkorea standardiserat på en ActiveX-kontroll som krävs för att komma säkra finansiella och statliga webbplatser tillbaka i 90-talet. Det var bara helt stängdes 2020 Och beroendet av ActiveX tvingade folk att använda den gamla, föråldrad teknik under en lång tid. Som den Washington Post skrev en gång, ”South Korea [var] fastnat med Internet Explorer för online-shopping” 2013. Artikeln beskriver hur Mac-användare var tvungen att förlita sig på stationära datorer på sina kontor, internetkaféer, gamla datorer, eller Bootläger att göra inköp på nätet.
Sådana situationer spelas ut på liknande sätt på andra ställen: Företag som standardiserat på ActiveX för att leverera interna applikationer hade fastnat beroende på Internet Explorer i Windows tills de lämnade ActiveX bakom.
Hur den moderna webben är bättre
Ur ett säkerhetsperspektiv är den moderna webben mycket bättre. När du laddar en webbsida, webbläsar laster och körs den webbsidan i sin egen isolerade sandlåda. Webbläsaren är inte beroende av ActiveX, Java, Flash eller någon annan typ av tredje part program som körs en del av webbsidan.
Det finns inget sätt för en webbplats för att leverera kod som får tillgång till allt på datorn, inte utan att ladda ner ett EXE-fil som körs helt utanför webbläsaren i Windows, till exempel.
Din webbläsare uppdateras automatiskt sig själv, så det finns ingen risk för forntida kod sitta och återstående tillgängliga för webbsidor utan att få säkerhetsuppdateringar-eftersom det var med ActiveX.
Innan det var axed helt till förmån för webbteknik i slutet av 2020 Även Flash-innehåll var säkrare än ActiveX. Google Chrome, till exempel körde Flash i en sandlåda. En skadlig Flash applet skulle behöva använda en brist att undkomma sandlådan i Adobe Flash själv, och sedan använda en annan skavank att undkomma plug-in sandlåda i Google Chrome för att få full tillgång till datorn.
Och naturligtvis är den moderna webben plattform. Du kan använda vilken webbläsare du väljer på vilken plattform du gillar. Du är inte fast med att använda Internet Explorer på Windows eftersom de webbplatser du använder kräver en ActiveX-kontroll som bara fungerar på Windows i den ena webbläsaren.
Och säkert, De flesta webbläsarutdelningar som du installerar har tillgång till allt du gör i din webbläsare -But åtminstone har de inte tillgång till hela din dator.
RELATERAD: Visste du att Browser Extensions tittar på ditt bankkonto?
ActiveX-kontroller på Windows 10
Från och med 2021 stöds ActiveX-kontroller fortfarande på moderna versioner av Windows 10. Du måste Använd den äldre Internet Explorer 11-webbläsaren , men-Microsoft Edge stöder inte ActiveX-kontroller.
Vissa företag och andra organisationer använder fortfarande ActiveX-kontroller idag, så Microsoft har inte tagit bort stöd för det än.
RELATERAD: Adobe Flash är död: Här är vad det betyder
