Вспоминая элементы управления ActiveX, самую большую ошибку в Интернете

Ярлык Internet Explorer на рабочем столе Windows 10.



Представленные в 1996 году элементы управления ActiveX в Internet Explorer были плохой идеей для Интернета. Они вызвали серьезные проблемы с безопасностью и помогли закрепить доминирование Internet Explorer в Windows, что привело к застой в Интернете до Firefox .

Что такое элементы управления ActiveX?

Элементы управления ActiveX представляют собой тип программ, которые могут быть встроены в другие приложения. Microsoft использовала их для различных целей - например, вы могли встраивать элементы управления ActiveX в документы Microsoft Office. Однако здесь мы сосредоточены на ActiveX для Интернета. Начиная с Internet Explorer 3.0 в 1996 году, Microsoft разрешила веб-разработчикам встраивать элементы управления ActiveX на свои веб-страницы.





Тогда, когда вы посещали веб-страницу, Internet Explorer предлагал вам загрузить и запустить любые элементы управления ActiveX, указанные на веб-странице.

Популярные подключаемые модули Internet Explorer, такие как Adobe Flash, Adobe Shockwave, RealPlayer, Apple QuickTime и Windows Media Player, были реализованы с использованием элементов управления ActiveX.



Internet Explorer 11

СВЯЗАННЫЙ: Что такое элементы управления ActiveX и почему они опасны

Безопасность была проблемой с самого начала

90-е были другим временем, что также принесло нам опасные макросы в документах Office . Первоначально элементы управления ActiveX были похожи на любую другую программу на вашем компьютере. Когда вы запускали элемент управления ActiveX, он имел полный доступ ко всему на вашем компьютере.



Реклама

Другими словами, вы можете посетить веб-страницу в Internet Explorer и увидеть подсказку о том, что веб-страница хочет запустить игру или другую программу. Если вы согласитесь, элемент управления ActiveX сможет делать все, что угодно, со всеми файлами и программами на вашем компьютере. Легко понять, насколько это было идеальным для вредоносных программ.

Это резко контрастировало с технологией Sun Java. В то время Java также использовалась для запуска программ на веб-страницах внутри веб-браузеров. Однако Java попыталась ограничить возможности этих программ с помощью песочница . Java в веб-браузере в конечном итоге имел долгую историю недостатков безопасности - но, по крайней мере, Java пыталась ограничить возможности приложений.

Статья CNET с 1997 г. отражает отношение Microsoft в то время:

Хотя песочница Java обеспечивает высокую степень безопасности, она не позволяет пользователям загружать и запускать захватывающие мультимедийные игры или другие полнофункциональные программы на своих компьютерах, говорится в заявлении на сайте безопасности Microsoft. В результате пользователи могут захотеть загрузить код, который имеет полный доступ к ресурсам их компьютеров.

В статье объясняется, что Microsoft включила систему подотчетности Authenticode. Разработчики программного обеспечения могли поставить цифровую подпись на свои элементы управления ActiveX, но это не было обязательным требованием. Разработчиков, создавших вредоносные элементы управления ActiveX, будет легче отследить, если они захотят подписать свои элементы управления.

Поскольку Microsoft изначально полагалась на систему чести, легко увидеть, как ActiveX стал популярным способом доставки вредоносного и шпионского ПО пользователям Internet Explorer.

СВЯЗАННЫЙ: Почему так много компьютерных фанатов ненавидят Internet Explorer?

ActiveX был разработан для старой сети

Было время, когда веб-технологии были не очень мощными. Если вам нужно что-то более продвинутое, чем текст и изображения, даже если вы просто хотите встроить видео на веб-страницу, вам нужен какой-то подключаемый модуль для браузера.

Реклама

ActiveX был разработан для мира, в котором вы не могли создавать сложные полнофункциональные приложения с использованием HTML, JavaScript и других современных технологий, как сегодня.

Многие организации обратились к элементам управления ActiveX, чтобы добавить функциональности своим веб-сайтам. Многие компании также использовали элементы управления ActiveX для внутренних целей, чтобы быстро доставлять программы на свои рабочие ПК. Когда вы открываете одну из этих веб-страниц с помощью Internet Explorer, вам предлагается загрузить элемент управления ActiveX, и вы запускаете программу.

Красиво и легко - слишком просто. Возможно, это сработает во внутренней сети (интранете) компании, где все заслуживает доверия. Но в неприрученной сети это вызвало массу проблем.

ActiveX был беспорядком в безопасности

Концептуально ActiveX имел две большие проблемы с безопасностью. Во-первых, вредоносный веб-сайт может предложить вам установить вредоносный элемент управления ActiveX, и пользователям Internet Explorer было очень легко согласиться с предложением и установить его.

Во-вторых, проблемой может быть ошибка в законном элементе управления ActiveX. Например, если у вас была установлена ​​устаревшая версия Adobe Flash, вредоносный веб-сайт мог бы воспользоваться этим и получить доступ ко всему вашему компьютеру, поскольку элементы управления ActiveX, такие как Flash, имели доступ ко всему вашему компьютеру.

На самом деле это было большим делом, поскольку элементы ActiveX часто не имели систем автоматического обновления.

Реклама

Со временем Microsoft продолжала ужесточать настройки безопасности и добавлять дополнительную защиту, такую ​​как защищенный режим и Расширенный защищенный режим . Например, в Internet Explorer есть встроенный список устаревших элементов управления ActiveX что он отказывается загружаться. Internet Explorer выдает дополнительные предупреждения перед загрузкой и загрузкой элементов управления ActiveX. Были введены другие параметры безопасности, которые позволяют создателям элементов управления ActiveX ограничивать элементы управления ActiveX, например, запускаться только на определенных веб-сайтах.

Показательный пример: веб-сайт Microsoft когда-то требовал элемента управления ActiveX Akamai Download Manager для загрузки определенных файлов. Для этого диспетчера загрузок требовался полный доступ ко всему вашему компьютеру, и, конечно же, он работал только в Internet Explorer. Неудивительно, что в этой программе Download Manager собственные уязвимости безопасности . Звучит ли это действительно как хорошее решение для загрузки файлов вместо того, чтобы просто полагаться на встроенный загрузчик файлов вашего веб-браузера?

Предупреждение системы безопасности Internet Explorer

Элементы управления ActiveX не были кроссплатформенными

ActiveX - это технология Microsoft, которая лучше всего работает в Internet Explorer в Windows. Были некоторые плагины, которые добавляли поддержку конкурирующих браузеров, например Netscape Navigator (предок Mozilla Firefox), но на самом деле все было в Internet Explorer.

Технически ActiveX был кроссплатформенным. Microsoft добавила поддержку ActiveX в Internet Explorer для Mac. Однако, в отличие от Java (которая была кроссплатформенной), элементы управления ActiveX, написанные для Windows, не работали на Mac. Разработчикам придется создавать элементы управления ActiveX для Mac.

Например, Южная Корея стандартизировала элемент управления ActiveX, который требовался для доступа к защищенным финансовым и правительственным веб-сайтам еще в 90-х годах. Это было только полностью закрыться в 2020 году , а зависимость от ActiveX вынуждала людей использовать эту древнюю, устаревшую технологию в течение длительного времени. Как Вашингтон Пост однажды написал, что Южная Корея застряла с Internet Explorer для покупок в Интернете в 2013 году. В статье описывается, как пользователям Mac приходилось полагаться на настольные компьютеры в своих офисах, интернет-кафе, старых компьютерах или Учебный лагерь совершать покупки в Интернете.

Подобные ситуации происходили аналогичным образом и в других местах: компании, которые стандартизировали ActiveX для доставки внутренних приложений, зависели от Internet Explorer в Windows, пока они не оставили ActiveX.

Чем современный Интернет лучше

С точки зрения безопасности современный Интернет намного лучше. Когда вы загружаете веб-страницу, ваш веб-браузер загружает и запускает эту веб-страницу в собственной изолированной песочнице. Веб-браузер не использует ActiveX, Java, Flash или сторонние программы любого другого типа, которые запускают часть веб-страницы.

Реклама

Веб-сайт не может предоставить код, который получает полный доступ ко всему на вашем компьютере - например, без загрузки EXE-файла, который работает полностью вне браузера в Windows.

Ваш веб-браузер автоматически обновляется, поэтому нет риска, что древний код останется и останется доступным для веб-страниц без установки исправлений безопасности, как это было в случае с ActiveX.

Раньше это было полностью отказался от веб-технологий в конце 2020 года , даже Flash-контент был более безопасным, чем ActiveX. Например, Google Chrome запускал Flash в песочнице. Вредоносный Flash-апплет должен был бы использовать брешь, чтобы выйти из песочницы в самом Adobe Flash, а затем использовать другую брешь, чтобы выйти из песочницы плагина в Google Chrome, чтобы получить полный доступ к компьютеру.

И, конечно же, современный Интернет кроссплатформенный. Вы можете использовать любой браузер по своему выбору на любой платформе, которая вам нравится. Вы не застряли в использовании Internet Explorer в Windows, потому что для используемых вами веб-сайтов требуется элемент управления ActiveX, который работает только в Windows в этом одном браузере.

И конечно, большинство установленных вами расширений браузера имеют доступ ко всему, что вы делаете в своем браузере. - но, по крайней мере, у них нет доступа ко всему вашему компьютеру.

СВЯЗАННЫЙ: Знаете ли вы, что расширения браузера просматривают ваш банковский счет?

Элементы управления ActiveX в Windows 10

С 2021 года элементы управления ActiveX по-прежнему поддерживаются в современных версиях Windows 10. Вы должны использовать устаревший браузер Internet Explorer 11 однако Microsoft Edge не поддерживает элементы управления ActiveX.

Некоторые предприятия и другие организации до сих пор используют элементы управления ActiveX, поэтому Microsoft еще не удалила их поддержку.

СВЯЗАННЫЙ: Adobe Flash мертв: вот что это значит

ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ Фотография профиля Криса Хоффмана Крис Хоффман
Крис Хоффман - главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года вел обозреватель PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на таких телеканалах, как NBC 6 в Майами, и его работа освещалась такими новостными агентствами, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз - и это только здесь, в How-To Geek.
Прочитать полную биографию

Интересные статьи