Được giới thiệu vào năm 1996, các điều khiển ActiveX của Internet Explorer là một ý tưởng tồi cho Web. Họ gây ra các vấn đề về an ninh nghiêm trọng và đã giúp Xi măng Sự thống trị của Internet Explorer trên Windows, dẫn đến Sự trì trệ trước Firefox của Web [số 8] .
Điều khiển ActiveX là gì?
Kiểm soát ActiveX [số 8] là một loại chương trình có thể được nhúng trong các ứng dụng khác. Microsoft đã sử dụng chúng cho nhiều mục đích khác nhau, ví dụ, bạn có thể nhúng các điều khiển ActiveX trong tài liệu Microsoft Office. Tuy nhiên, ở đây, chúng tôi đang tập trung vào ActiveX cho web. Bắt đầu với Internet Explorer 3.0 vào năm 1996, Microsoft để các nhà phát triển web nhúng ActiveX điều khiển trong các trang web của họ.
Sau đó, khi bạn truy cập một trang web, Internet Explorer sẽ nhắc bạn tải xuống và chạy bất kỳ điều khiển ActiveX nào mà trang Web được chỉ định.
Các trình cắm thêm Internet Explorer phổ biến như Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime và Windows Media Player đã được triển khai bằng các điều khiển ActiveX.
CÓ LIÊN QUAN: Điều khiển ActiveX nào và tại sao chúng nguy hiểm [số 8]
Bảo mật là một vấn đề từ đầu
Những năm 90 là một thời gian khác nhau, cũng mang đến cho chúng ta macro nguy hiểm trong tài liệu văn phòng [số 8] . Ban đầu, các điều khiển ActiveX giống như bất kỳ chương trình nào khác trên máy tính của bạn. Khi bạn khởi chạy một điều khiển ActiveX, nó đã truy cập đầy đủ vào tất cả mọi thứ trên máy tính của bạn.
Nói cách khác, bạn có thể truy cập một trang web trong Internet Explorer và xem một cách nhắc nhở rằng trang web muốn chạy một trò chơi hoặc chương trình khác. Nếu bạn đồng ý, kiểm soát ActiveX sẽ có thể làm bất cứ điều gì nó muốn với tất cả các tệp và chương trình trên máy tính của bạn. Thật dễ dàng để xem làm thế nào điều này là lý tưởng cho phần mềm độc hại.
Đây là sự tương phản rõ nét với công nghệ Java của Sun. Vào thời điểm đó, Java cũng được sử dụng để chạy các chương trình trên các trang web bên trong trình duyệt web. Tuy nhiên, Java đã cố gắng giới hạn những gì các chương trình này có thể thực hiện thông qua việc sử dụng một Sandbox. [số 8] . Java trong trình duyệt web cuối cùng đã có một lịch sử lâu dài về sai sót an ninh [số 8] -Nhưng ít nhất Java đã cố gắng để giới hạn những gì các ứng dụng có thể làm.
Một bài viết CNET Từ năm 1997. [số 8] Bắt thái độ của Microsoft tại thời điểm đó:
"Trong khi Java Sandbox thực thi một mức độ bảo mật cao, thì không cho phép người dùng tải xuống và chạy các trò chơi đa phương tiện thú vị hoặc các chương trình đầy đủ tính năng khác trên máy tính của họ", một tuyên bố về trang web bảo mật của Microsoft. "Kết quả là, người dùng có thể muốn tải xuống mã có quyền truy cập đầy đủ vào tài nguyên của máy tính của họ."
Bài viết tiếp tục giải thích rằng Microsoft bao gồm một hệ thống "trách nhiệm trách nhiệm" có tên Authenticode. Các nhà phát triển phần mềm có thể chọn đóng dấu các điều khiển ActiveX của họ bằng chữ ký số, nhưng nó không bắt buộc. Các nhà phát triển đã tạo ra các điều khiển ActiveX độc hại có thể được theo dõi dễ dàng hơn - nếu họ chọn ký kiểm soát của họ.
Với Microsoft ban đầu dựa vào hệ thống danh dự, thật dễ dàng để thấy ActiveX như thế nào trở thành một cách phổ biến để cung cấp phần mềm độc hại và phần mềm gián điệp cho người dùng Internet Explorer.
CÓ LIÊN QUAN: Tại sao nhiều người đam mê ghét Internet Explorer? [số 8]
ActiveX được thiết kế cho trang web cũ
Đã có lúc các công nghệ web không mạnh mẽ lắm. Nếu bạn muốn một thứ gì đó nâng cao hơn văn bản và hình ảnh, ngay cả khi bạn chỉ muốn nhúng video vào trang web, bạn cần một số loại trình duyệt trình duyệt.
Activex được thiết kế cho một thế giới nơi bạn không thể tạo các ứng dụng phức tạp, đầy đủ tính năng bằng HTML, JavaScript và các công nghệ hiện đại khác, như bạn có thể ngay hôm nay.
Nhiều tổ chức đã chuyển sang các điều khiển ActiveX để thêm chức năng vào trang web của họ. Nhiều doanh nghiệp đã sử dụng các điều khiển ActiveX trong nội bộ, để nhanh chóng giao các chương trình cho các công ty kinh doanh của họ. Khi bạn truy cập một trong các trang web này bằng Internet Explorer, nó sẽ nhắc bạn tải xuống một điều khiển ActiveX và bạn sẽ chạy chương trình.
Đẹp và dễ dàng quá dễ dàng. Có lẽ đó sẽ bay trên mạng nội bộ của một công ty (mạng nội bộ) nơi mọi thứ đều đáng tin cậy. Nhưng trên web chưa được chứng nhận, điều này gây ra rất nhiều vấn đề.
ActiveX là một mớ hỗn độn bảo mật
Về mặt khái niệm, ActiveX có hai vấn đề bảo mật lớn. Đầu tiên, một trang web độc hại có thể nhắc bạn cài đặt một điều khiển ActiveX độc hại và nó rất dễ dàng đối với người dùng Internet Explorer đồng ý với lời nhắc và cài đặt nó.
Thứ hai, một lỗi trong một điều khiển ActiveX hợp pháp có thể là một vấn đề. Ví dụ, nếu bạn đã cài đặt Adobe Flash lỗi thời, chẳng hạn, một trang web độc hại có thể tận dụng lợi thế đó và có quyền truy cập vào toàn bộ máy tính của bạn, vì các điều khiển ActiveX của bạn như Flash có quyền truy cập vào toàn bộ máy tính của bạn.
Đây là một vấn đề lớn, thực sự, vì các điều khiển ActiveX thường không có hệ thống cập nhật tự động.
Theo thời gian, Microsoft tiếp tục thắt chặt các cài đặt bảo mật và thêm bảo vệ thêm như Chế độ bảo vệ của Chế độ được bảo vệ. Chế độ được bảo vệ nâng cao [số 8] . " Ví dụ: Internet Explorer có tích hợp Danh sách các điều khiển ActiveX lỗi thời [số 8] mà nó từ chối tải. Internet Explorer cung cấp các cảnh báo bổ sung trước khi tải xuống và tải các điều khiển ActiveX. Các cài đặt bảo mật khác đã được giới thiệu rằng hãy để người tạo điều khiển ActiveX hạn chế các điều khiển ActiveX chỉ chạy trên một số trang web nhất định.
Trường hợp tại điểm: Trang web của Microsoft sau khi yêu cầu điều khiển Akamai "Manager" ActiveX để tải xuống một số tệp nhất định. Trình quản lý tải xuống này yêu cầu truy cập đầy đủ vào toàn bộ máy tính của bạn, và tất nhiên, nó chỉ chạy trong Internet Explorer. Không có gì đáng ngạc nhiên, chương trình Trình quản lý tải xuống này đã có lỗ hổng bảo mật của chính nó [số 8] . Điều đó có thực sự nghe giống như một giải pháp tốt để tải xuống các tệp thay vì chỉ dựa vào trình tải xuống tệp tích hợp của trình duyệt web của bạn không?
Điều khiển ActiveX không phải là nền tảng chéo
ActiveX là một công nghệ của Microsoft chạy tốt nhất trong Internet Explorer trên Windows. Có một số trình cắm thêm hỗ trợ cho các trình duyệt cạnh tranh, như Netscape Navigator (tổ tiên của Mozilla Firefox), nhưng đó thực sự là tất cả về Internet Explorer.
Về mặt kỹ thuật, ActiveX là đa nền tảng. Microsoft đã thêm hỗ trợ ActiveX cho Internet Explorer cho Mac. Tuy nhiên, không giống như với Java (đó là đa nền tảng), các điều khiển ActiveX được viết cho Windows sẽ không hoạt động trên máy Mac. Các nhà phát triển sẽ phải tạo điều khiển ActiveX cho Mac.
Ví dụ, Hàn Quốc đã tiêu chuẩn hóa về một điều khiển ActiveX được yêu cầu truy cập các trang web tài chính và chính phủ an toàn trở lại vào những năm 90. Nó chỉ là đầy đủ đóng cửa vào năm 2020 [số 8] và sự phụ thuộc vào ActiveX bắt buộc người ta sử dụng công nghệ cổ xưa, lỗi thời trong một thời gian dài. Như Bưu điện Washington [số 8] Khi đã viết, "Hàn Quốc [đã] bị mắc kẹt với Internet Explorer để mua sắm trực tuyến" vào năm 2013. Bài viết mô tả cách người dùng Mac phải dựa vào máy tính để bàn trong văn phòng của họ, quán cà phê Internet, máy tính cũ hoặc Boot Camp. [số 8] để mua hàng trực tuyến.
Các tình huống như vậy được diễn ra theo những cách tương tự ở những nơi khác: các công ty được tiêu chuẩn hóa trên ActiveX để cung cấp các ứng dụng nội bộ đã bị mắc kẹt tùy thuộc vào Internet Explorer trên Windows cho đến khi họ rời khỏi ActiveX phía sau.
Web hiện đại như thế nào tốt hơn
Từ góc độ bảo mật, web hiện đại tốt hơn nhiều. Khi bạn tải một trang web, trình duyệt web của bạn sẽ tải và chạy trang web đó trong hộp cát bị cô lập riêng. Trình duyệt web không dựa vào ActiveX, Java, Flash hoặc bất kỳ loại chương trình của bên thứ ba nào khác chạy một phần của trang web.
Không có cách nào để một trang web cung cấp mã truy cập đầy đủ vào mọi thứ trên máy tính của bạn, không phải không tải xuống tệp exe chạy hoàn toàn bên ngoài trình duyệt trên Windows, ví dụ.
Trình duyệt web của bạn tự động cập nhật chính nó, vì vậy không có nguy cơ mã cổ đang ngồi xung quanh và vẫn có thể truy cập được đối với các trang web mà không cần các bản vá bảo mật - vì có ActiveX.
Trước đó là AXED hoàn toàn ủng hộ các công nghệ Web vào cuối năm 2020 [số 8] , ngay cả nội dung flash cũng an toàn hơn ActiveX. Google Chrome, ví dụ, Ran Flash trong hộp cát. Một applet flash độc hại sẽ phải sử dụng một lỗ hổng để thoát khỏi hộp cát trong chính Adobe Flash, sau đó sử dụng một lỗ hổng khác để thoát khỏi hộp cát bổ trợ trong Google Chrome để truy cập đầy đủ vào máy tính.
Và tất nhiên, web hiện đại là đa nền tảng. Bạn có thể sử dụng bất kỳ trình duyệt nào bạn chọn trên bất kỳ nền tảng nào bạn thích. Bạn không bị mắc kẹt khi sử dụng Internet Explorer trên Windows vì các trang web bạn sử dụng yêu cầu điều khiển ActiveX chỉ hoạt động trên Windows trong một trình duyệt đó.
Và chắc chắn, Hầu hết các phần mở rộng trình duyệt mà bạn cài đặt có quyền truy cập vào mọi thứ bạn làm trong trình duyệt web của mình [số 8] -But ít nhất họ không có quyền truy cập vào toàn bộ máy tính của bạn.
CÓ LIÊN QUAN: Bạn có biết tiện ích mở rộng trình duyệt đang xem tài khoản ngân hàng của bạn không? [số 8]
Điều khiển ActiveX trên Windows 10
Kể từ năm 2021, các điều khiển ActiveX vẫn được hỗ trợ trên các phiên bản hiện đại của Windows 10. Bạn phải Sử dụng trình duyệt Legacy Internet Explorer 11 [số 8] , Tuy nhiên, Microsoft Edge không hỗ trợ các điều khiển ActiveX.
Một số doanh nghiệp và các tổ chức khác vẫn đang sử dụng các điều khiển ActiveX ngay hôm nay, vì vậy Microsoft chưa loại bỏ hỗ trợ cho nó.
CÓ LIÊN QUAN: Adobe Flash đã chết: Đây là những gì có nghĩa là [số 8]
