Kurulum gerektirmeyen uygulamaları çalıştırmak güvenli midir?


15

Ubuntu var 14.04 LTS

Telegram'ı buradan indirdim . Dosya, uzantıyla sıkıştırıldı tar.xz.

Bu dosyayı açtım ve dosyayı Telegramortak kullanıcı (yönetici değil) kullanarak (uzantısız) çalıştırdım . Uygulama başladı ve Tamam çalıştı.

Ama neden Ubuntu bana "Bu uygulamayı çalıştırma, çünkü güvenli değil" demiyor?

Kuruluma gerek duymayan, çift tıklandığında kolayca çalışan bu tür uygulamaları çalıştırmak gerçekten güvenli mi?

Ve buna benzer uygulamalara ne denir? Ne isimleri var? "Taşınabilir"?


1
Telgraf ve güvenlik konusuyla ilgili bu soru ilginç bulabileceğiniz security.stackexchange.com/questions/49782/is-telegram-secure
Rahip kız kuşu

1
İlgili soru Windows hakkında konuşuyor, ancak aynı kavram: security.stackexchange.com/q/178814/84287
JPhi1618

2
Hakemler: Bu sorunun öncelikle görüşe dayalı olduğunu görmekte zorlanıyorum . Yanıtlar, ilgili güvenlik hususlarını açıklayabilir ve açıklayabilir.
Eliah Kagan


1
Bu uyarı Ubuntu'da bile var mı?
user253751

Yanıtlar:


26

Dosya bir ikili yürütülebilir dosyadır. Zaten kaynak kodundan CPU'nuzun çalıştırabileceği bir forma derlenmiştir ve sadece onun çalışması için çalıştırılmasını istemeniz gerekir.

Genel olarak APT gibi bir paket yöneticisi çalıştırdığınızda indirdiğiniz yazılım ayrıca önceden derlenmiş ikili dosyaları da içerir, bu nedenle bu tür bir dosya hakkında tuhaf bir şey yoktur. paketleme dosyalarının dosya sistemindeki ikili kopyalanabilir gereken paket yöneticisini söylemek gibi yararlı şeyler yapar ve emin programı öyle gerektiren herhangi paylaşılan kütüphaneleri ve bağımlı olduğu diğer programlar ve çevreyi bulabilirsiniz kılan komut dosyalarını içerir gerekirse ayarlayın.

Bu programı güvensiz olarak görmenizin nedeni, bilinmeyen bir kaynaktan gelmesidir, oysa Ubuntu depolarından gelen paketler bilinen bir kaynaktan gelmektedir ve sisteminize giderken tahrif edilmemelerini sağlayan bir imza doğrulama işlemiyle korunmaktadır .

Temel olarak, sağlayıcıya güvenmediğiniz ve indirmenin size ulaştığını doğrulayamadığınız sürece, bilinmeyen kaynaklardan yürütülebilir dosyalar indirmek ve çalıştırmak güvenli değildir. İkinci uçta, distribütörler yükledikleri dosyanın indirdiğiniz dosya ile aynı içeriğe sahip olup olmadığını kontrol etmek için kullanabileceğiniz bir çeşit sağlama toplamı sağlayabilir.

Hakkında cesaret verici bir şey Özellikle Telegram , açık kaynak olmasıdır:

Bu yazılım GPL v3 lisansı ile edinilebilir.
Kaynak kodu şurada mevcuttur: GitHub'da .

Bu, herkesin sisteminiz için istenmeyen bir şey yapmayacağından emin olmak için programın kaynak kodunu okuyabileceği anlamına gelir. Uygulamada, programın güvenli olduğundan emin olmak için kaynak kodunu okumak, çoğu son kullanıcının yapmak veya nasıl yapılacağını öğrenmek için zaman harcamak istediği bir şey değildir. Yine de, açık kaynak yazılımdaki güvenlik açıklarını ve hatalarını bulmak için ilgili topluluğa biraz inancım var.

Ubuntu'nun neden programın güvensiz olduğundan şikayet etmemesine gelince, kullanıcıyı şüpheli kararları hakkında rahatsız etmek Linux geleneği değildir. Bir Linux sistemi genellikle ne istersen yapmak için tasarlanmıştır ve başka bir şey değildir. Kullanıcı, güvenlik sorunları ve diğer olası tuzaklardan haberdar olmaktan sorumlu olarak kabul edilir ve nadiren sistemlerinden ödün vermek veya zarar vermek üzere oldukları konusunda uyarılır.

Telegram için bir PPA kullanıyorum, Telegram kurmanın tüm yolları için bu cevaba bakın . PPA'lar APT'nin imza doğrulama mekanizmasını kullanır, ancak yine de bazı riskleri vardır çünkü koruyucunuza güveniyorsunuz. PPA'lar bazı kolaylıklar sağlar, güncellemeleri çalıştırdığınızda güncelleme yapar (sürdürücü PPA'yı güncellerse), paket yöneticisinin yazılıma sahip olduğunuzu ve bu gibi şeyleri fark etmesini sağlar.


6
" Bir Linux sistemi genellikle istediğini yapmak için tasarlanmıştır ve başka bir şey değildir. " İki kelime: Lennart Poettering.
RonJohn

6
Telegram kaynağı Github'da iken, indirdiğiniz derlenmiş ikili dosya tam olarak aynı kaynak kullanılarak oluşturulduğu anlamına gelmez. Sonuçta, buradaki asıl sorun, işletim sisteminizin paketleri tarafından daha iyi ele alınan tüm zincire güven.
Ocak 2018

Tabii ki bu ikiliyi fırlatabilir, bu kaynağı alıp kendiliğinden derleyebilir ve kullanabilir ya da tam olarak aynı şekilde derlerse sahip olduğu ikili ile karşılaştırabilir (bunun çoğaltılması potansiyel olarak zor olsa da).
ttbek

1
@ RonJohn, neden bu cümle ile bağlantılı olarak (aksine?) Bahsettiğinizi açıklayan hiçbir şey bulamıyorum. Karanlık bir PulseAudio beklentisi kırılması veya başka bir şeyden mi bahsediyorsunuz?
Joker

2
"indirme işleminin size ulaştığını doğrulayın. Son olarak, dağıtımcılar yükledikleri dosyanın indirdiğiniz içerikle aynı içeriğe sahip olup olmadığını kontrol etmek için kullanabileceğiniz bir çeşit sağlama toplamı sağlayabilir." - sağlama toplamı size indirme ile aynı kanaldan geçtiyse, bunun da oynanmış olabileceğinden ek bir güvenlik sağlamayacağını unutmayın.
Jon Bentley

11

Yerel olarak kurulmuş yazılım

Yazılım, indirilen (veya herhangi bir şekilde yerel olarak kopyalanan) ve yerel olarak (kullanıcınızdan) çalışan, yönetici izinleri gerektirmeyen her şeyi yapabilir. Bu, çoğumuz zararlı bulacağınız (kişisel) dosyalarınızı kaldırmayı içerir.

Herhangi bir şeye giriş yaptıysanız ve yazılım kullanıcı olarak çalışıyorsa, aynı zamanda sudoers dosyasına eklemiş olabileceğiniz komut dosyalarını veya komutları da düşünün.

Yönetici hesabınız varsa ve yazılım parolanızı sorar ve yanlışlıkla verirseniz, her şey olabilir.

Uyarı?

Parolanızı vermeden, olası hasar kendi hesabınızla sınırlı olacaktır. Ubuntu'nun kasten ya da koşmadığınız her komut için sizi uyarmasını istemezsiniz.

Bu nedenle, kodu tam olarak anlamadığınız sürece, onlara güvenip güvenemeyeceğinizi bilmediğiniz kaynaklardan kod çalıştırmamalısınız.


7
"Potansiyel hasar kendi hesabınızla sınırlı olacaktır" - ana ilkeye katılmıyorum, ancak dürüst olmak gerekirse, makinemde kendi hesabımda DEĞİL herhangi bir değerli veri düşünemiyorum.
Mirek Długosz

11
@ MirosławZalewski zorunlu xkcd: xkcd.com/1200
Olorin

Xkcd'ye ek olarak: Bir kötü amaçlı yazılım diğer sunuculara spam göndermeyi veya hacklemeyi deneyebilir (bunu zaten eylemde gördüm). Bu sadece başkaları için sinir bozucu değil, aynı zamanda kara listelere de girmenizi sağlayabilir.
allo
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.