Perché ActiveX è considerato insicuro?

5

Non ho esperienza con lo sviluppo web, ma ho letto che ActiveX dovrebbe essere abbandonato perché non è sicuro, a favore di altri metodi di scripting come JavaScript.

Che cosa fa esattamente ActiveX, perché è considerato non sicuro e in che modo è diverso da JavaScript e VBScript?

Preferirei una semplice spiegazione che non includa troppi dettagli tecnici (se possibile).

    
posta user13267 10.12.2013 - 22:01
fonte

2 risposte

6

ActiveX è una superficie di attacco sfruttabile da remoto esposta dal browser. I componenti ActiveX sono classi esposte a JavaScript. Per loro natura, un componente ActiveX sta eseguendo funzionalità sensibili normalmente non esposte a JavaScript e questa funzionalità potrebbe essere sfruttata. I componenti ActiveX possono essere scritti in C / C ++, il che significa che i componenti ActiveX possono risentire dell'overflow del buffer o di altre vulnerabilità di corruzione della memoria. Molti exploit sono stati scritti per sfruttare le vulnerabilità nei componenti ActiveX, in particolare il componente ActiveX scritto da Microsoft e abilitato per impostazione predefinita.

Lo sfruttamento di un componente ActiveX porta spesso all'esecuzione di codice in modalità remota sul sistema di destinazione.

    
risposta data 11.12.2013 - 00:26
fonte
2

Un certo numero di applicazioni desktop ha storicamente creato oggetti Scriptable, spesso gli sviluppatori non considerano le implicazioni di sicurezza del sito Web casuale in grado di scrivere script su questi oggetti. Un esempio di molti anni fa era che Microsoft Outlook creava l'elenco dei contatti e la possibilità di inviare e-mail con script. Pertanto, l'utente che naviga su un sito Web potrebbe indurre l'utente a inviare un'email a tutti i contatti elencati in tale applicazione Outlook.

Oltre alle funzionalità progettate in modo improprio, c'è la probabilità che le applicazioni desktop non siano state progettate pensando alla sicurezza della rete, a causa del loro normale caso d'uso di essere utilizzate da un utente fidato. E come tale hanno debolezza di sicurezza.

Sono andato alla ricerca di dettagli sulla vulnerabilità di invio e-mail e non sono riuscito a trovarlo a causa del numero percentuale di risultati per googling per outlook Activex patch di sicurezza invia email .

What exactly does ActiveX do, why is it considered insecure and how is it different from JavaScript and VBScript?

ActiveX è un modo per accedere alle applicazioni installate localmente, viene utilizzato da JavaScript o VBScript. Ad esempio il seguente codice javascript inizializza l'accesso a Microsoft Excel se installato e se vengono passati i controlli di sicurezza.

var ExcelApp = new ActiveXObject("Excel.Application");
var ExcelSheet = new ActiveXObject("Excel.Sheet"); 

// Make Excel visible through the Application object.
ExcelSheet.Application.Visible = true;
// Place some text in the first cell of the sheet.
ExcelSheet.ActiveSheet.Cells(1,1).Value = "This is column A, row 1";
// Save the sheet.
ExcelSheet.SaveAs("C:\TEST.XLS");
// Close Excel with the Quit method on the Application object.
ExcelSheet.Application.Quit();

Senza le estensioni ActiveX JavaScript installato nel browser consente solo l'interazione con il browser. I browser sono progettati con il caso di utilizzo esplicito per l'esecuzione sicura di codice limitato da fonti non attendibili. Mentre JavaScript può interagire solo con la superficie più dura del browser, è meno probabile che vengano rilevati punti deboli della sicurezza, ActiveX espande notevolmente la superficie di attacco di un sito Web dannoso.

    
risposta data 05.04.2016 - 01:02
fonte

Leggi altre domande sui tag