Mengingat ActiveX Controls, Kesilapan Terbesar Web

Pintasan Internet Explorer pada desktop Windows 10.



Diperkenalkan pada tahun 1996, kawalan ActiveX Internet Explorer adalah idea yang tidak baik untuk web. Mereka menyebabkan masalah keselamatan yang serius dan membantu mengukuhkan penguasaan Internet Explorer pada Windows, yang membawa kepada genangan pra-Firefox web .

Apakah Kawalan ActiveX?

Kawalan ActiveX adalah sejenis program yang boleh dibenamkan dalam aplikasi lain. Microsoft menggunakannya untuk pelbagai tujuan—contohnya, anda boleh membenamkan kawalan ActiveX dalam dokumen Microsoft Office. Walau bagaimanapun, di sini, kami memfokuskan pada ActiveX untuk web. Bermula dengan Internet Explorer 3.0 pada tahun 1996, Microsoft membenarkan pembangun web membenamkan kawalan ActiveX dalam halaman web mereka.





Pada masa itu, apabila anda melawat halaman web, Internet Explorer akan menggesa anda untuk memuat turun dan menjalankan sebarang kawalan ActiveX yang ditentukan oleh halaman web tersebut.

Pemalam Internet Explorer yang popular seperti Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime dan Windows Media Player telah dilaksanakan menggunakan kawalan ActiveX.



Internet Explorer 11

BERKAITAN: Apakah Kawalan ActiveX dan Mengapa Ia Berbahaya

Keselamatan Adalah Masalah dari Mula

'90-an adalah masa yang berbeza, yang juga membawa kita makro berbahaya dalam dokumen Office . Pada asalnya, kawalan ActiveX adalah seperti program lain pada komputer anda. Apabila anda melancarkan kawalan ActiveX, ia mempunyai akses penuh kepada segala-galanya pada komputer anda.



Iklan

Dalam erti kata lain, anda mungkin melawat halaman web dalam Internet Explorer dan melihat gesaan yang menyatakan bahawa halaman web itu ingin menjalankan permainan atau program lain. Jika anda bersetuju, kawalan ActiveX akan dapat melakukan apa sahaja yang dikehendaki dengan semua fail dan program pada komputer anda. Sangat mudah untuk melihat cara ini sesuai untuk perisian hasad.

Ini sangat berbeza dengan teknologi Java Sun. Pada masa itu, Java juga digunakan untuk menjalankan program pada halaman web di dalam pelayar web. Walau bagaimanapun, Java cuba mengehadkan apa yang boleh dilakukan oleh program ini melalui penggunaan a kotak pasir . Java dalam pelayar web akhirnya mempunyai sejarah panjang kelemahan keselamatan —tetapi sekurang-kurangnya Java cuba mengehadkan apa yang boleh dilakukan oleh aplikasi.

Artikel CNET dari tahun 1997 menangkap sikap Microsoft pada masa itu:

Walaupun kotak pasir Java menguatkuasakan tahap keselamatan yang tinggi, ia tidak membenarkan pengguna memuat turun dan menjalankan permainan multimedia yang menarik atau program berciri penuh lain pada komputer mereka, satu kenyataan di tapak keselamatan Microsoft berbunyi. Akibatnya, pengguna mungkin mahu memuat turun kod yang mempunyai akses penuh kepada sumber komputer mereka.

Artikel itu seterusnya menjelaskan bahawa Microsoft memasukkan sistem akauntabiliti bernama Authenticode. Pembangun perisian boleh memilih untuk mengecop kawalan ActiveX mereka dengan tandatangan digital, tetapi ia tidak wajib. Pembangun yang mencipta kawalan ActiveX berniat jahat boleh dijejaki dengan lebih mudah—jika mereka memilih untuk menandatangani kawalan mereka.

Dengan Microsoft pada mulanya bergantung pada sistem penghormatan, mudah untuk melihat bagaimana ActiveX menjadi cara yang popular untuk menghantar perisian hasad dan perisian pengintip kepada pengguna Internet Explorer.

BERKAITAN: Mengapa Ramai Geeks Benci Internet Explorer?

ActiveX Telah Direka untuk Web Lama

Ada masanya teknologi web tidak begitu berkuasa. Jika anda mahukan sesuatu yang lebih maju daripada teks dan imej—walaupun anda hanya mahu membenamkan video dalam halaman web—anda memerlukan sejenis pemalam penyemak imbas.

Iklan

ActiveX telah direka untuk dunia yang anda tidak boleh mencipta aplikasi yang kompleks dan berciri penuh menggunakan HTML, JavaScript dan teknologi moden yang lain, seperti yang anda boleh lakukan hari ini.

Banyak organisasi beralih kepada kawalan ActiveX untuk menambah kefungsian pada tapak web mereka. Banyak perniagaan menggunakan kawalan ActiveX secara dalaman juga, untuk menghantar program dengan cepat ke PC perniagaan mereka. Apabila anda mengakses salah satu halaman web ini dengan Internet Explorer, ia akan menggesa anda untuk memuat turun kawalan ActiveX dan anda akan menjalankan program tersebut.

Bagus dan mudah—terlalu mudah. Mungkin itu akan terbang pada rangkaian dalaman syarikat (intranet) di mana semuanya boleh dipercayai. Tetapi pada web yang tidak dikenali, ini menyebabkan banyak masalah.

ActiveX Adalah Kekacauan Keselamatan

Secara konsep, ActiveX mempunyai dua masalah keselamatan yang besar. Pertama, tapak web berniat jahat boleh menggesa anda untuk memasang kawalan ActiveX yang berniat jahat, dan amat mudah bagi pengguna Internet Explorer untuk bersetuju menerima gesaan dan memasangnya.

Kedua, pepijat dalam kawalan ActiveX yang sah boleh menjadi masalah. Jika anda memasang versi lama Adobe Flash, sebagai contoh, tapak web berniat jahat boleh memanfaatkannya dan mendapat akses ke seluruh komputer anda—memandangkan kawalan ActiveX seperti Flash mempunyai akses ke seluruh komputer anda.

Ini adalah masalah besar, sebenarnya, kerana kawalan ActiveX selalunya tidak mempunyai sistem kemas kini automatik.

Iklan

Dari masa ke masa, Microsoft terus mengetatkan tetapan keselamatan dan menambah perlindungan tambahan seperti Mod Dilindungi dan Mod Dilindungi Dipertingkat . Sebagai contoh, Internet Explorer mempunyai terbina dalam senarai kawalan ActiveX yang sudah lapuk bahawa ia enggan memuatkan. Internet Explorer menyediakan amaran tambahan sebelum memuat turun dan memuatkan kawalan ActiveX. Tetapan keselamatan lain telah diperkenalkan yang membenarkan pencipta kawalan ActiveX mengehadkan kawalan ActiveX untuk hanya berjalan pada tapak web tertentu, contohnya.

Contoh: Tapak web Microsoft pernah memerlukan kawalan ActiveX Pengurus Muat Turun Akamai untuk memuat turun fail tertentu. Pengurus Muat Turun ini memerlukan akses penuh ke seluruh komputer anda, dan sudah tentu, ia hanya berjalan dalam Internet Explorer. Tidak mengejutkan, program Pengurus Muat Turun ini mempunyai kelemahan keselamatannya sendiri . Adakah itu kedengaran seperti penyelesaian yang baik untuk memuat turun fail dan bukannya hanya bergantung pada pemuat turun fail terbina dalam pelayar web anda?

Amaran keselamatan Internet Explorer

Kawalan ActiveX Bukan Cross-Platform

ActiveX ialah teknologi Microsoft yang berjalan paling baik dalam Internet Explorer pada Windows. Terdapat beberapa pemalam yang menambah sokongan kepada penyemak imbas bersaing, seperti Netscape Navigator (nenek moyang Mozilla Firefox), tetapi ia benar-benar mengenai Internet Explorer.

Secara teknikal, ActiveX ialah platform merentas. Microsoft menambah sokongan ActiveX pada Internet Explorer untuk Mac. Walau bagaimanapun, tidak seperti Java (yang merentas platform), kawalan ActiveX yang ditulis untuk Windows tidak akan berfungsi pada Mac. Pembangun perlu mencipta kawalan ActiveX untuk Mac.

Contohnya, Korea Selatan menyeragamkan kawalan ActiveX yang diperlukan untuk mengakses tapak web kewangan dan kerajaan yang selamat pada tahun 90-an. Ia hanya sepenuhnya ditutup pada tahun 2020 , dan kebergantungan pada ActiveX memaksa orang ramai menggunakan teknologi kuno dan lapuk itu untuk masa yang lama. sebagai Washington Post pernah menulis, Korea Selatan [telah] terperangkap dengan Internet Explorer untuk membeli-belah dalam talian pada tahun 2013. Artikel itu menerangkan cara pengguna Mac terpaksa bergantung pada komputer meja di pejabat mereka, kafe internet, komputer lama atau Perkhemahan Permulaan untuk membuat pembelian dalam talian.

Situasi sedemikian dimainkan dengan cara yang sama di tempat lain: Syarikat yang menyeragamkan ActiveX untuk menyampaikan aplikasi dalaman tersekat bergantung pada Internet Explorer pada Windows sehingga mereka meninggalkan ActiveX di belakang.

Bagaimana Web Moden Lebih Baik

Dari perspektif keselamatan, web moden jauh lebih baik. Apabila anda memuatkan halaman web, pelayar web anda memuatkan dan menjalankan halaman web tersebut dalam kotak pasir terpencilnya sendiri. Penyemak imbas web tidak bergantung pada ActiveX, Java, Flash atau mana-mana jenis program pihak ketiga lain yang menjalankan sebahagian daripada halaman web.

Iklan

Tiada cara untuk tapak web menghantar kod yang mendapat akses penuh kepada semua pada komputer anda—bukannya tanpa memuat turun fail EXE yang dijalankan sepenuhnya di luar penyemak imbas pada Windows, contohnya.

Penyemak imbas web anda mengemas kini sendiri secara automatik, jadi tiada risiko kod purba berada di sekeliling dan kekal boleh diakses ke halaman web tanpa mendapat tampung keselamatan—seperti yang berlaku dengan ActiveX.

Sebelum itu memihak sepenuhnya kepada teknologi web pada penghujung tahun 2020 , malah kandungan Flash adalah lebih selamat daripada ActiveX. Google Chrome, sebagai contoh, menjalankan Flash dalam kotak pasir. Applet Flash yang berniat jahat perlu menggunakan kecacatan untuk melarikan diri dari kotak pasir dalam Adobe Flash itu sendiri, dan kemudian menggunakan kecacatan lain untuk melarikan diri dari kotak pasir pemalam dalam Google Chrome untuk mendapatkan akses penuh kepada komputer.

Dan sudah tentu, web moden adalah merentas platform. Anda boleh menggunakan mana-mana pelayar yang anda pilih pada platform yang anda suka. Anda tidak terperangkap menggunakan Internet Explorer pada Windows kerana tapak web yang anda gunakan memerlukan kawalan ActiveX yang hanya berfungsi pada Windows dalam satu penyemak imbas itu.

Dan pasti, kebanyakan sambungan penyemak imbas yang anda pasang mempunyai akses kepada semua yang anda lakukan dalam penyemak imbas web anda —tetapi sekurang-kurangnya mereka tidak mempunyai akses kepada keseluruhan komputer anda.

BERKAITAN: Tahukah Anda Sambungan Penyemak Imbas Melihat Akaun Bank Anda?

ActiveX Controls pada Windows 10

Sehingga 2021, kawalan ActiveX masih disokong pada versi moden Windows 10. Anda perlu gunakan pelayar Internet Explorer 11 warisan , walau bagaimanapun—Microsoft Edge tidak menyokong kawalan ActiveX.

Sesetengah perniagaan dan organisasi lain masih menggunakan kawalan ActiveX hari ini, jadi Microsoft belum mengalih keluar sokongan untuknya lagi.

BERKAITAN: Adobe Flash sudah Mati: Inilah Maksudnya

BACA SETERUSNYA Foto Profil untuk Chris Hoffman Chris Hoffman
Chris Hoffman ialah Ketua Pengarang How-To Geek. Dia menulis tentang teknologi selama lebih sedekad dan merupakan kolumnis PCWorld selama dua tahun. Chris telah menulis untuk The New York Times, telah ditemu bual sebagai pakar teknologi di stesen TV seperti NBC 6 Miami, dan karyanya diliput oleh saluran berita seperti BBC. Sejak 2011, Chris telah menulis lebih 2,000 artikel yang telah dibaca hampir satu bilion kali---dan itu hanya di sini di How-To Geek.
Baca Bio Penuh

Artikel Yang Menarik