การเรียกใช้แอพที่ไม่ต้องติดตั้งปลอดภัยหรือไม่

ฉันมี Ubuntu 14.04 LTS

ผมได้ดาวน์โหลดโทรเลขจากที่นี่ tar.xzไฟล์ที่ถูกบีบอัดที่มีนามสกุล

ฉันได้แตกไฟล์นี้แล้วและเรียกใช้ไฟล์Telegram(ไม่มีส่วนขยาย) โดยใช้ผู้ใช้ทั่วไป (ไม่ใช่ผู้ดูแลระบบ) แอปพลิเคชันเริ่มต้นและทำงานได้ดี

แต่ทำไม Ubuntu ไม่บอกฉันว่า "อย่าเปิดแอพนี้เพราะมันไม่ปลอดภัย"?

ปลอดภัยไหมที่จะเรียกใช้แอปพลิเคชันดังกล่าวซึ่งไม่จำเป็นต้องติดตั้งซึ่งสามารถรันได้ง่ายเมื่อคลิกสองครั้ง

และแอพแบบนี้เรียกว่าอะไร? พวกเขามีชื่ออะไร “พกพา”?

ไฟล์นี้เป็นไฟล์ไบนารีที่สามารถเรียกทำงานได้ มันถูกคอมไพล์แล้วจากซอร์สโค้ดของมันลงในแบบฟอร์มที่ CPU ของคุณสามารถดำเนินการได้และคุณจะต้องขอให้มันทำงานเพื่อให้มันทำงาน

ซอฟต์แวร์ที่คุณดาวน์โหลดเมื่อคุณเรียกใช้ตัวจัดการแพคเกจเช่น APT โดยทั่วไปยังมีไบนารีที่รวบรวมไว้ล่วงหน้าดังนั้นจึงไม่มีอะไรแปลกประหลาดเกี่ยวกับไฟล์ประเภทนี้ บรรจุภัณฑ์ของไฟล์ที่ไม่สิ่งที่เป็นประโยชน์เช่นบอกผู้จัดการแพคเกจที่อยู่ในระบบแฟ้มไบนารีจะต้องมีการคัดลอกไปและให้สคริปต์ที่ให้แน่ใจว่าโปรแกรมที่สามารถพบห้องสมุดใด ๆ ที่ใช้ร่วมกันและโปรแกรมอื่น ๆ มันขึ้นอยู่กับสภาพแวดล้อมและจะต้องเป็น ตั้งค่าหากจำเป็น

เหตุผลที่คุณอาจพิจารณาว่าโปรแกรมนี้ไม่ปลอดภัยคือมันมาจากแหล่งที่ไม่รู้จักในขณะที่แพคเกจจากที่เก็บของ Ubuntu มาจากแหล่งที่รู้จักและได้รับการป้องกันโดยกระบวนการตรวจสอบลายเซ็นที่รับรองว่าพวกเขาจะไม่ได้รับความเสียหาย

โดยทั่วไปการดาวน์โหลดและเรียกใช้ไฟล์ปฏิบัติการจากแหล่งที่ไม่รู้จักนั้นไม่ปลอดภัยเว้นแต่คุณจะเชื่อถือผู้ให้บริการและคุณสามารถตรวจสอบว่าการดาวน์โหลดนั้นมาถึงคุณเหมือนเดิม ในตอนท้ายผู้จัดจำหน่ายอาจจัดเตรียมการตรวจสอบบางประเภทที่คุณสามารถใช้เพื่อตรวจสอบว่าไฟล์ที่พวกเขาอัปโหลดมีเนื้อหาเหมือนกับที่คุณดาวน์โหลดมา

สิ่งหนึ่งที่ให้กำลังใจเกี่ยวกับโทรเลขโดยเฉพาะคือมันเป็นโอเพ่นซอร์ส:

ซอฟต์แวร์นี้มีให้ภายใต้ลิขสิทธิ์ GPL v3
รหัสที่มาสามารถใช้ได้บนGitHub

ซึ่งหมายความว่าทุกคนสามารถอ่านซอร์สโค้ดของโปรแกรมเพื่อให้แน่ใจว่าจะไม่ทำสิ่งใดที่ไม่พึงประสงค์ในระบบของคุณ ในทางปฏิบัติการอ่านซอร์สโค้ดเพื่อให้แน่ใจว่าโปรแกรมนั้นปลอดภัยไม่ใช่สิ่งที่ผู้ใช้ส่วนใหญ่ต้องการใช้เวลาทำหรือเรียนรู้วิธีการทำ ถึงกระนั้นฉันมีศรัทธาในชุมชนที่เกี่ยวข้องเพื่อค้นหาช่องโหว่ด้านความปลอดภัยและข้อบกพร่องในซอฟต์แวร์โอเพนซอร์ซ

สำหรับสาเหตุที่อูบุนตูไม่ได้บ่นว่าโปรแกรมนั้นไม่ปลอดภัยเอาล่ะผู้ใช้เกี่ยวกับการตัดสินใจที่น่าสงสัยไม่ใช่ประเพณี Linux โดยทั่วไปแล้วระบบ Linux นั้นได้รับการออกแบบมาเพื่อทำสิ่งที่คุณต้องการและไม่มีอะไรอื่น ผู้ใช้มีหน้าที่รับผิดชอบต่อการตระหนักถึงปัญหาความปลอดภัยและข้อผิดพลาดที่อาจเกิดขึ้นอื่น ๆ และจะไม่ได้รับการเตือนว่าพวกเขากำลังจะประนีประนอมหรือทำลายระบบของพวกเขา

ผมใช้ PPA สำหรับโทรเลขดูคำตอบนี้ได้ทุกวิธีการติดตั้งโทรเลข PPAs ใช้กลไกการตรวจสอบลายเซ็นของ APT แต่ก็ยังมีความเสี่ยงอยู่เพราะคุณเชื่อมั่นในผู้ดูแล PPA ให้ความสะดวกสบายอัปเดตเมื่อคุณเรียกใช้อัปเดต (หากผู้ดูแลอัปเดต PPA) ทำให้ผู้จัดการแพคเกจทราบว่าคุณมีซอฟต์แวร์และอื่น ๆ

ซอฟต์แวร์ที่ติดตั้งในเครื่อง

ซอฟต์แวร์ดาวน์โหลด (หรือคัดลอกแบบโลคัลในลักษณะใด ๆ ) และเรียกใช้ในเครื่อง (จากผู้ใช้ของคุณ) สามารถทำสิ่งที่คุณไม่ต้องการสิทธิ์ผู้ดูแลระบบ ซึ่งรวมถึงการลบไฟล์ (ส่วนตัว) ของคุณซึ่งส่วนใหญ่เราจะพบว่าเป็นอันตราย

หากคุณลงชื่อเข้าใช้สิ่งใดและซอฟต์แวร์ทำงานในฐานะผู้ใช้ของคุณเช่นเดียวกัน แต่ให้นึกถึงสคริปต์หรือคำสั่งที่คุณอาจเพิ่มลงในไฟล์ sudoers

ในกรณีที่คุณมีบัญชีผู้ดูแลระบบและซอฟต์แวร์ขอรหัสผ่านของคุณและคุณให้รหัสผ่านโดยบังเอิญ

คำเตือน?

ความเสียหายที่อาจเกิดขึ้นจะถูก จำกัด ในบัญชีของคุณ คุณไม่ต้องการให้ Ubuntu เตือนคุณสำหรับคำสั่งทุกคำสั่งที่คุณรันโดยเจตนาหรือไม่

นั่นเป็นสาเหตุที่คุณไม่ควรเรียกใช้รหัสจากแหล่งที่มาคุณไม่ทราบว่าคุณสามารถเชื่อถือได้หรือไม่เว้นแต่คุณจะเข้าใจรหัสอย่างสมบูรณ์