Có an toàn để chạy các ứng dụng không cần cài đặt?

15

Tôi có Ubuntu 14.04 LTS

Tôi đã tải Telegram từ đây . Các tập tin đã được nén với phần mở rộng tar.xz.

Tôi đã giải nén tệp này và chạy tệp Telegram(không có phần mở rộng) bằng cách sử dụng người dùng thông thường (không phải quản trị viên). Ứng dụng bắt đầu và hoạt động tốt.

Nhưng tại sao Ubuntu không nói với tôi, "Đừng chạy ứng dụng này, vì nó không an toàn"?

Có thực sự an toàn khi chạy các ứng dụng như vậy, không cần cài đặt, chạy dễ dàng khi nhấp đúp?

Và những ứng dụng như thế này được gọi là gì? Họ có tên gì? Mâm di động?

security  telegram 
D. Ktt
nguồn
1
về chủ đề Telegram và bảo mật, bạn có thể thấy câu hỏi này rất thú vị về bảo
mật.stackexchange.com/
1
Câu hỏi liên quan nói về Windows, nhưng cùng một khái niệm: security.stackexchange.com/q/178814/84287
JPhi1618
2
Người đánh giá: Tôi có một thời gian khó khăn để xem câu hỏi này chủ yếu dựa trên ý kiến như thế nào . Câu trả lời có thể - và đã - giải thích các cân nhắc bảo mật có liên quan.
Eliah Kagan
4
Andrea Lazzarotto
1
Có cảnh báo đó thậm chí tồn tại trong Ubuntu?
dùng253751

Câu trả lời:

26

Các tập tin là một thực thi nhị phân. Nó đã được biên dịch từ mã nguồn của nó thành một dạng mà CPU của bạn có thể thực thi và bạn chỉ phải yêu cầu nó được thực thi để nó chạy.

Phần mềm bạn tải xuống khi bạn chạy trình quản lý gói như APT nói chung cũng bao gồm các tệp nhị phân được biên dịch sẵn, vì vậy không có gì đặc biệt về loại tệp này. Việc đóng gói các tệp thực hiện những điều hữu ích như thông báo cho người quản lý gói trong đó trong hệ thống tệp, các nhị phân cần được sao chép và cung cấp các tập lệnh để đảm bảo chương trình có thể tìm thấy bất kỳ thư viện chia sẻ nào và các chương trình khác mà nó phụ thuộc và môi trường mà nó yêu cầu thiết lập nếu cần.

Lý do bạn có thể coi chương trình này không an toàn là vì nó đến từ một nguồn không xác định, trong khi các gói từ kho Ubuntu là từ một nguồn đã biết và được bảo vệ bởi quy trình xác minh chữ ký để đảm bảo chúng không bị giả mạo trên đường đến hệ thống của bạn.

Về cơ bản, tải xuống và chạy các tệp thực thi từ các nguồn không xác định là không an toàn, trừ khi bạn tin tưởng nhà cung cấp và bạn có thể xác minh rằng bản tải xuống đã đạt được cho bạn nguyên vẹn. Cuối cùng, các nhà phân phối có thể cung cấp một số loại tổng kiểm tra mà bạn có thể sử dụng để kiểm tra xem tệp họ đã tải lên có cùng nội dung với tệp bạn đã tải xuống không.

Một điều đáng khích lệ về Telegram nói riêng là nó là nguồn mở:

Phần mềm này có sẵn theo giấy phép GPL v3.
Mã nguồn có sẵn trên GitHub .

Điều này có nghĩa là bất kỳ ai cũng có thể đọc mã nguồn của chương trình để đảm bảo rằng nó sẽ không làm bất cứ điều gì không mong muốn đối với hệ thống của bạn. Trong thực tế, đọc mã nguồn để đảm bảo chương trình an toàn không phải là điều mà hầu hết người dùng cuối muốn dành thời gian làm hoặc học cách làm. Tuy nhiên, tôi có một số niềm tin vào cộng đồng liên quan để tìm ra các lỗ hổng bảo mật và lỗi trong phần mềm nguồn mở.

Về lý do tại sao Ubuntu không phàn nàn rằng chương trình này không an toàn, tốt, gây khó chịu cho người dùng về các quyết định đáng ngờ của họ không phải là truyền thống Linux. Một hệ thống Linux thường được thiết kế để làm những gì bạn yêu cầu và không có gì khác. Người dùng được coi là có trách nhiệm nhận thức về các vấn đề bảo mật và các cạm bẫy tiềm ẩn khác và sẽ hiếm khi được cảnh báo rằng họ sắp thỏa hiệp hoặc làm hỏng hệ thống của họ.

Tôi sử dụng PPA cho Telegram, xem câu trả lời này cho tất cả các cách để cài đặt Telegram . PPA sử dụng cơ chế xác minh chữ ký của APT, nhưng chúng vẫn có một số rủi ro vì bạn đang đặt niềm tin vào nhà bảo trì. PPA cung cấp một số tiện lợi, cập nhật khi bạn chạy các bản cập nhật (nếu nhà bảo trì cập nhật PPA), làm cho người quản lý gói biết rằng bạn có phần mềm, v.v.

Zanna
nguồn
6
" Một hệ thống Linux thường được thiết kế để làm những gì bạn yêu cầu và không có gì khác. " Hai từ: Lennart Poettering.
RonJohn
6
Trong khi nguồn Telegram có trên Github, điều đó không có nghĩa là nhị phân đã biên dịch mà bạn đã tải xuống được tạo bằng chính xác cùng một nguồn. Vì vậy, cuối cùng, vấn đề thực sự ở đây là sự tin tưởng vào toàn bộ chuỗi, được xử lý tốt hơn bởi các gói hệ điều hành của bạn.
jjmontes
Tất nhiên anh ta có thể bỏ nhị phân này, lấy nguồn đó và tự biên dịch nó, và sử dụng nó, hoặc so sánh nó với nhị phân mà anh ta có nếu anh ta biên dịch nó theo cùng một cách (mặc dù điều đó rất khó để sao chép).
ttbek
1
@RonJohn, tôi không thể tìm thấy bất cứ điều gì làm rõ lý do tại sao bạn đề cập đến anh ấy liên quan đến (trái ngược với?) Câu đó. Bạn đang nói về một số sự cố mong đợi mơ hồ của PulseAudio, hay cái gì khác?
tự đại diện
2
"xác minh rằng phần tải xuống đạt được cho bạn nguyên vẹn. Đến phần cuối, các nhà phân phối có thể cung cấp một số loại tổng kiểm tra mà bạn có thể sử dụng để kiểm tra xem tệp họ đã tải lên có cùng nội dung với tệp bạn đã tải xuống hay không." - lưu ý rằng điều này không thêm bất kỳ bảo mật bổ sung nào nếu tổng kiểm tra đã chuyển đến bạn cùng kênh với quá trình tải xuống, vì nó cũng có thể bị giả mạo.
Jon Bentley
11

Phần mềm cài đặt cục bộ

Phần mềm, được tải xuống (hoặc sao chép cục bộ theo bất kỳ cách nào) và chạy cục bộ (từ người dùng của bạn) có thể có khả năng làm bất cứ điều gì bạn không yêu cầu quyền quản trị viên. Điều đó bao gồm loại bỏ các tệp (cá nhân) của bạn, mà hầu hết chúng ta sẽ thấy có hại.

Nếu bạn đã đăng nhập vào bất cứ thứ gì và phần mềm chạy như người dùng của bạn, nhưng cũng nghĩ về các tập lệnh hoặc lệnh mà bạn có thể đã thêm vào tệp sudoers.

Trong trường hợp bạn có tài khoản quản trị viên và phần mềm yêu cầu mật khẩu của bạn và bạn vô tình cung cấp cho nó, bất cứ điều gì cũng có thể xảy ra.

Cảnh báo?

Nếu không cung cấp mật khẩu của bạn, thiệt hại tiềm tàng sẽ được giới hạn trong tài khoản của bạn. Bạn sẽ không muốn Ubuntu cảnh báo bạn về từng lệnh bạn chạy, có chủ ý hay không.

Đó là lý do tại sao bạn không nên chạy mã từ các nguồn mà bạn không biết nếu bạn có thể tin tưởng chúng, trừ khi bạn hoàn toàn hiểu mã.

Jacob Vlijm
nguồn
7
"Thiệt hại tiềm tàng sẽ được giới hạn trong tài khoản của bạn" - không phải tôi không đồng ý với nguyên tắc chính, nhưng thành thật mà nói, tôi không thể nghĩ ra bất kỳ dữ liệu có giá trị nào trên máy của mình KHÔNG phải trên tài khoản của mình.
Mirek Długosz
11
@ MirosławZalewski bắt buộc xkcd: xkcd.com/1200
Olorin
Ngoài xkcd: Một phần mềm độc hại có thể cố gắng spam hoặc hack các máy chủ khác (tôi đã thấy điều này hoạt động). Điều này không chỉ gây khó chịu cho người khác mà còn có thể đưa bạn vào danh sách đen.
allo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.