การเรียกใช้แอพที่ไม่ต้องติดตั้งปลอดภัยหรือไม่


15

ฉันมี Ubuntu 14.04 LTS

ผมได้ดาวน์โหลดโทรเลขจากที่นี่ tar.xzไฟล์ที่ถูกบีบอัดที่มีนามสกุล

ฉันได้แตกไฟล์นี้แล้วและเรียกใช้ไฟล์Telegram(ไม่มีส่วนขยาย) โดยใช้ผู้ใช้ทั่วไป (ไม่ใช่ผู้ดูแลระบบ) แอปพลิเคชันเริ่มต้นและทำงานได้ดี

แต่ทำไม Ubuntu ไม่บอกฉันว่า "อย่าเปิดแอพนี้เพราะมันไม่ปลอดภัย"?

ปลอดภัยไหมที่จะเรียกใช้แอปพลิเคชันดังกล่าวซึ่งไม่จำเป็นต้องติดตั้งซึ่งสามารถรันได้ง่ายเมื่อคลิกสองครั้ง

และแอพแบบนี้เรียกว่าอะไร? พวกเขามีชื่ออะไร “พกพา”?


1
ในหัวข้อ Telegram และความปลอดภัยคุณอาจพบคำถามนี้น่าสนใจsecurity.stackexchange.com/questions/49782/is-telegram-secure
สาธุคุณ Lapwing

1
คำถามที่เกี่ยวข้องพูดคุยเกี่ยวกับ Windows แต่มีแนวคิดเดียวกัน: security.stackexchange.com/q/178814/84287
JPhi1618

2
ผู้ตรวจทาน: ฉันมีเวลายากที่จะเห็นว่าคำถามนี้มีพื้นฐานมาจากความคิดเห็นเป็นหลัก รู้รอบสามารถ - และมี - อธิบายถึงข้อควรพิจารณาด้านความปลอดภัยที่เกี่ยวข้อง
Eliah Kagan


1
คำเตือนนั้นมีอยู่ใน Ubuntu หรือไม่?
253751

คำตอบ:


26

ไฟล์นี้เป็นไฟล์ไบนารีที่สามารถเรียกทำงานได้ มันถูกคอมไพล์แล้วจากซอร์สโค้ดของมันลงในแบบฟอร์มที่ CPU ของคุณสามารถดำเนินการได้และคุณจะต้องขอให้มันทำงานเพื่อให้มันทำงาน

ซอฟต์แวร์ที่คุณดาวน์โหลดเมื่อคุณเรียกใช้ตัวจัดการแพคเกจเช่น APT โดยทั่วไปยังมีไบนารีที่รวบรวมไว้ล่วงหน้าดังนั้นจึงไม่มีอะไรแปลกประหลาดเกี่ยวกับไฟล์ประเภทนี้ บรรจุภัณฑ์ของไฟล์ที่ไม่สิ่งที่เป็นประโยชน์เช่นบอกผู้จัดการแพคเกจที่อยู่ในระบบแฟ้มไบนารีจะต้องมีการคัดลอกไปและให้สคริปต์ที่ให้แน่ใจว่าโปรแกรมที่สามารถพบห้องสมุดใด ๆ ที่ใช้ร่วมกันและโปรแกรมอื่น ๆ มันขึ้นอยู่กับสภาพแวดล้อมและจะต้องเป็น ตั้งค่าหากจำเป็น

เหตุผลที่คุณอาจพิจารณาว่าโปรแกรมนี้ไม่ปลอดภัยคือมันมาจากแหล่งที่ไม่รู้จักในขณะที่แพคเกจจากที่เก็บของ Ubuntu มาจากแหล่งที่รู้จักและได้รับการป้องกันโดยกระบวนการตรวจสอบลายเซ็นที่รับรองว่าพวกเขาจะไม่ได้รับความเสียหาย

โดยทั่วไปการดาวน์โหลดและเรียกใช้ไฟล์ปฏิบัติการจากแหล่งที่ไม่รู้จักนั้นไม่ปลอดภัยเว้นแต่คุณจะเชื่อถือผู้ให้บริการและคุณสามารถตรวจสอบว่าการดาวน์โหลดนั้นมาถึงคุณเหมือนเดิม ในตอนท้ายผู้จัดจำหน่ายอาจจัดเตรียมการตรวจสอบบางประเภทที่คุณสามารถใช้เพื่อตรวจสอบว่าไฟล์ที่พวกเขาอัปโหลดมีเนื้อหาเหมือนกับที่คุณดาวน์โหลดมา

สิ่งหนึ่งที่ให้กำลังใจเกี่ยวกับโทรเลขโดยเฉพาะคือมันเป็นโอเพ่นซอร์ส:

ซอฟต์แวร์นี้มีให้ภายใต้ลิขสิทธิ์ GPL v3
รหัสที่มาสามารถใช้ได้บนGitHub

ซึ่งหมายความว่าทุกคนสามารถอ่านซอร์สโค้ดของโปรแกรมเพื่อให้แน่ใจว่าจะไม่ทำสิ่งใดที่ไม่พึงประสงค์ในระบบของคุณ ในทางปฏิบัติการอ่านซอร์สโค้ดเพื่อให้แน่ใจว่าโปรแกรมนั้นปลอดภัยไม่ใช่สิ่งที่ผู้ใช้ส่วนใหญ่ต้องการใช้เวลาทำหรือเรียนรู้วิธีการทำ ถึงกระนั้นฉันมีศรัทธาในชุมชนที่เกี่ยวข้องเพื่อค้นหาช่องโหว่ด้านความปลอดภัยและข้อบกพร่องในซอฟต์แวร์โอเพนซอร์ซ

สำหรับสาเหตุที่อูบุนตูไม่ได้บ่นว่าโปรแกรมนั้นไม่ปลอดภัยเอาล่ะผู้ใช้เกี่ยวกับการตัดสินใจที่น่าสงสัยไม่ใช่ประเพณี Linux โดยทั่วไปแล้วระบบ Linux นั้นได้รับการออกแบบมาเพื่อทำสิ่งที่คุณต้องการและไม่มีอะไรอื่น ผู้ใช้มีหน้าที่รับผิดชอบต่อการตระหนักถึงปัญหาความปลอดภัยและข้อผิดพลาดที่อาจเกิดขึ้นอื่น ๆ และจะไม่ได้รับการเตือนว่าพวกเขากำลังจะประนีประนอมหรือทำลายระบบของพวกเขา

ผมใช้ PPA สำหรับโทรเลขดูคำตอบนี้ได้ทุกวิธีการติดตั้งโทรเลข PPAs ใช้กลไกการตรวจสอบลายเซ็นของ APT แต่ก็ยังมีความเสี่ยงอยู่เพราะคุณเชื่อมั่นในผู้ดูแล PPA ให้ความสะดวกสบายอัปเดตเมื่อคุณเรียกใช้อัปเดต (หากผู้ดูแลอัปเดต PPA) ทำให้ผู้จัดการแพคเกจทราบว่าคุณมีซอฟต์แวร์และอื่น ๆ


6
" โดยทั่วไปแล้วระบบ Linux นั้นถูกออกแบบมาเพื่อทำในสิ่งที่คุณต้องการและไม่มีอะไรอื่นอีกแล้ว " สองคำ: Lennart Poettering
RonJohn

6
ในขณะที่แหล่งที่มาของโทรเลขอยู่บน Github มันไม่ได้หมายความว่าไบนารีที่คอมไพล์ที่คุณดาวน์โหลดถูกสร้างขึ้นโดยใช้แหล่งเดียวกัน ดังนั้นในที่สุดปัญหาที่แท้จริงที่นี่คือความไว้วางใจในห่วงโซ่ทั้งหมดซึ่งได้รับการจัดการที่ดีขึ้นโดยแพ็คเกจระบบปฏิบัติการของคุณ
jjmontes

แน่นอนว่าเขาสามารถขุดไบนารีนี้เอาแหล่งนั้นมาและรวบรวมมันเองและใช้มันหรือเปรียบเทียบกับไบนารีที่เขามีถ้าเขารวบรวมมันด้วยวิธีเดียวกัน (แม้ว่าอาจเป็นเรื่องยากที่จะทำซ้ำ)
ttbek

1
@ RonJohn ฉันไม่สามารถหาอะไรที่ชัดเจนว่าทำไมคุณถึงพูดถึงเขาเกี่ยวกับ (ตรงกันข้ามกับ) ประโยคนั้น คุณกำลังพูดถึงความแตกต่างที่คาดหวังของ PulseAudio ที่คลุมเครือหรืออย่างอื่นอยู่หรือไม่?
สัญลักษณ์แทน

2
"ยืนยันว่าการดาวน์โหลดมาถึงคุณเหมือนเดิมในท้ายที่สุดผู้จัดจำหน่ายอาจให้การตรวจสอบบางประเภทที่คุณสามารถใช้เพื่อตรวจสอบว่าไฟล์ที่พวกเขาอัปโหลดมีเนื้อหาเดียวกับที่คุณดาวน์โหลด" - โปรดทราบว่าการดำเนินการนี้จะไม่เพิ่มความปลอดภัยเพิ่มเติมใด ๆ หากการตรวจสอบได้นำคุณไปยังช่องทางเดียวกับการดาวน์โหลดเนื่องจากอาจมีการแก้ไขด้วย
Jon Bentley

11

ซอฟต์แวร์ที่ติดตั้งในเครื่อง

ซอฟต์แวร์ดาวน์โหลด (หรือคัดลอกแบบโลคัลในลักษณะใด ๆ ) และเรียกใช้ในเครื่อง (จากผู้ใช้ของคุณ) สามารถทำสิ่งที่คุณไม่ต้องการสิทธิ์ผู้ดูแลระบบ ซึ่งรวมถึงการลบไฟล์ (ส่วนตัว) ของคุณซึ่งส่วนใหญ่เราจะพบว่าเป็นอันตราย

หากคุณลงชื่อเข้าใช้สิ่งใดและซอฟต์แวร์ทำงานในฐานะผู้ใช้ของคุณเช่นเดียวกัน แต่ให้นึกถึงสคริปต์หรือคำสั่งที่คุณอาจเพิ่มลงในไฟล์ sudoers

ในกรณีที่คุณมีบัญชีผู้ดูแลระบบและซอฟต์แวร์ขอรหัสผ่านของคุณและคุณให้รหัสผ่านโดยบังเอิญ

คำเตือน?

ความเสียหายที่อาจเกิดขึ้นจะถูก จำกัด ในบัญชีของคุณ คุณไม่ต้องการให้ Ubuntu เตือนคุณสำหรับคำสั่งทุกคำสั่งที่คุณรันโดยเจตนาหรือไม่

นั่นเป็นสาเหตุที่คุณไม่ควรเรียกใช้รหัสจากแหล่งที่มาคุณไม่ทราบว่าคุณสามารถเชื่อถือได้หรือไม่เว้นแต่คุณจะเข้าใจรหัสอย่างสมบูรณ์


7
"ความเสียหายที่อาจเกิดขึ้นจะถูก จำกัด ในบัญชีของคุณเอง" - ไม่ใช่ว่าฉันไม่เห็นด้วยกับหลักการหลัก แต่บอกตามตรงฉันไม่สามารถนึกถึงข้อมูลที่มีค่าในเครื่องของฉันที่ไม่ได้อยู่ในบัญชีของฉันเอง
Mirek Długosz

11
@ MirosławZalewskiบังคับ xkcd: xkcd.com/1200
Olorin

นอกเหนือจาก xkcd: มัลแวร์อาจพยายามสแปมหรือแฮ็กเซิร์ฟเวอร์อื่น ๆ (ฉันได้เห็นสิ่งนี้มาแล้ว) สิ่งนี้ไม่เพียง แต่สร้างความรำคาญให้ผู้อื่นเท่านั้น แต่ยังทำให้คุณอยู่ในบัญชีดำอีกด้วย
อัลโล
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.