Kurulum gerektirmeyen uygulamaları çalıştırmak güvenli midir?

Ubuntu var 14.04 LTS

Telegram'ı buradan indirdim . Dosya, uzantıyla sıkıştırıldı tar.xz.

Bu dosyayı açtım ve dosyayı Telegramortak kullanıcı (yönetici değil) kullanarak (uzantısız) çalıştırdım . Uygulama başladı ve Tamam çalıştı.

Ama neden Ubuntu bana "Bu uygulamayı çalıştırma, çünkü güvenli değil" demiyor?

Kuruluma gerek duymayan, çift tıklandığında kolayca çalışan bu tür uygulamaları çalıştırmak gerçekten güvenli mi?

Ve buna benzer uygulamalara ne denir? Ne isimleri var? "Taşınabilir"?

Dosya bir ikili yürütülebilir dosyadır. Zaten kaynak kodundan CPU'nuzun çalıştırabileceği bir forma derlenmiştir ve sadece onun çalışması için çalıştırılmasını istemeniz gerekir.

Genel olarak APT gibi bir paket yöneticisi çalıştırdığınızda indirdiğiniz yazılım ayrıca önceden derlenmiş ikili dosyaları da içerir, bu nedenle bu tür bir dosya hakkında tuhaf bir şey yoktur. paketleme dosyalarının dosya sistemindeki ikili kopyalanabilir gereken paket yöneticisini söylemek gibi yararlı şeyler yapar ve emin programı öyle gerektiren herhangi paylaşılan kütüphaneleri ve bağımlı olduğu diğer programlar ve çevreyi bulabilirsiniz kılan komut dosyalarını içerir gerekirse ayarlayın.

Bu programı güvensiz olarak görmenizin nedeni, bilinmeyen bir kaynaktan gelmesidir, oysa Ubuntu depolarından gelen paketler bilinen bir kaynaktan gelmektedir ve sisteminize giderken tahrif edilmemelerini sağlayan bir imza doğrulama işlemiyle korunmaktadır .

Temel olarak, sağlayıcıya güvenmediğiniz ve indirmenin size ulaştığını doğrulayamadığınız sürece, bilinmeyen kaynaklardan yürütülebilir dosyalar indirmek ve çalıştırmak güvenli değildir. İkinci uçta, distribütörler yükledikleri dosyanın indirdiğiniz dosya ile aynı içeriğe sahip olup olmadığını kontrol etmek için kullanabileceğiniz bir çeşit sağlama toplamı sağlayabilir.

Hakkında cesaret verici bir şey Özellikle Telegram , açık kaynak olmasıdır:

Bu yazılım GPL v3 lisansı ile edinilebilir.
Kaynak kodu şurada mevcuttur: GitHub'da .

Bu, herkesin sisteminiz için istenmeyen bir şey yapmayacağından emin olmak için programın kaynak kodunu okuyabileceği anlamına gelir. Uygulamada, programın güvenli olduğundan emin olmak için kaynak kodunu okumak, çoğu son kullanıcının yapmak veya nasıl yapılacağını öğrenmek için zaman harcamak istediği bir şey değildir. Yine de, açık kaynak yazılımdaki güvenlik açıklarını ve hatalarını bulmak için ilgili topluluğa biraz inancım var.

Ubuntu'nun neden programın güvensiz olduğundan şikayet etmemesine gelince, kullanıcıyı şüpheli kararları hakkında rahatsız etmek Linux geleneği değildir. Bir Linux sistemi genellikle ne istersen yapmak için tasarlanmıştır ve başka bir şey değildir. Kullanıcı, güvenlik sorunları ve diğer olası tuzaklardan haberdar olmaktan sorumlu olarak kabul edilir ve nadiren sistemlerinden ödün vermek veya zarar vermek üzere oldukları konusunda uyarılır.

Telegram için bir PPA kullanıyorum, Telegram kurmanın tüm yolları için bu cevaba bakın . PPA'lar APT'nin imza doğrulama mekanizmasını kullanır, ancak yine de bazı riskleri vardır çünkü koruyucunuza güveniyorsunuz. PPA'lar bazı kolaylıklar sağlar, güncellemeleri çalıştırdığınızda güncelleme yapar (sürdürücü PPA'yı güncellerse), paket yöneticisinin yazılıma sahip olduğunuzu ve bu gibi şeyleri fark etmesini sağlar.

Yerel olarak kurulmuş yazılım

Yazılım, indirilen (veya herhangi bir şekilde yerel olarak kopyalanan) ve yerel olarak (kullanıcınızdan) çalışan, yönetici izinleri gerektirmeyen her şeyi yapabilir. Bu, çoğumuz zararlı bulacağınız (kişisel) dosyalarınızı kaldırmayı içerir.

Herhangi bir şeye giriş yaptıysanız ve yazılım kullanıcı olarak çalışıyorsa, aynı zamanda sudoers dosyasına eklemiş olabileceğiniz komut dosyalarını veya komutları da düşünün.

Yönetici hesabınız varsa ve yazılım parolanızı sorar ve yanlışlıkla verirseniz, her şey olabilir.

Uyarı?

Parolanızı vermeden, olası hasar kendi hesabınızla sınırlı olacaktır. Ubuntu'nun kasten ya da koşmadığınız her komut için sizi uyarmasını istemezsiniz.

Bu nedenle, kodu tam olarak anlamadığınız sürece, onlara güvenip güvenemeyeceğinizi bilmediğiniz kaynaklardan kod çalıştırmamalısınız.