Un certo numero di applicazioni desktop ha storicamente creato oggetti Scriptable, spesso gli sviluppatori non considerano le implicazioni di sicurezza del sito Web casuale in grado di scrivere script su questi oggetti. Un esempio di molti anni fa era che Microsoft Outlook creava l'elenco dei contatti e la possibilità di inviare e-mail con script. Pertanto, l'utente che naviga su un sito Web potrebbe indurre l'utente a inviare un'email a tutti i contatti elencati in tale applicazione Outlook.
Oltre alle funzionalità progettate in modo improprio, c'è la probabilità che le applicazioni desktop non siano state progettate pensando alla sicurezza della rete, a causa del loro normale caso d'uso di essere utilizzate da un utente fidato. E come tale hanno debolezza di sicurezza.
Sono andato alla ricerca di dettagli sulla vulnerabilità di invio e-mail e non sono riuscito a trovarlo a causa del numero percentuale di risultati per googling per outlook Activex patch di sicurezza invia email .
What exactly does ActiveX do, why is it considered insecure and how is it different from JavaScript and VBScript?
ActiveX è un modo per accedere alle applicazioni installate localmente, viene utilizzato da JavaScript o VBScript. Ad esempio il seguente codice javascript inizializza l'accesso a Microsoft Excel se installato e se vengono passati i controlli di sicurezza.
var ExcelApp = new ActiveXObject("Excel.Application");
var ExcelSheet = new ActiveXObject("Excel.Sheet");
// Make Excel visible through the Application object.
ExcelSheet.Application.Visible = true;
// Place some text in the first cell of the sheet.
ExcelSheet.ActiveSheet.Cells(1,1).Value = "This is column A, row 1";
// Save the sheet.
ExcelSheet.SaveAs("C:\TEST.XLS");
// Close Excel with the Quit method on the Application object.
ExcelSheet.Application.Quit();
Senza le estensioni ActiveX JavaScript installato nel browser consente solo l'interazione con il browser. I browser sono progettati con il caso di utilizzo esplicito per l'esecuzione sicura di codice limitato da fonti non attendibili. Mentre JavaScript può interagire solo con la superficie più dura del browser, è meno probabile che vengano rilevati punti deboli della sicurezza, ActiveX espande notevolmente la superficie di attacco di un sito Web dannoso.