Безопасно ли запускать приложения, не требующие установки?

15

У меня Ubuntu 14.04 LTS

Я скачал Telegram отсюда . Файл был сжат с расширением tar.xz.

Я распаковал этот файл и запустил файл Telegram(без расширения), используя обычного пользователя (не администратора). Приложение запустилось и работало нормально.

Но почему Ubuntu не говорит мне: «Не запускайте это приложение, потому что оно небезопасно»?

Действительно ли безопасно запускать такие приложения, которые не требуют установки, которые легко запускаются при двойном щелчке?

И как называются такие приложения? Какое у них имя? «Портативный»?

Д. Ктт
источник
1
по теме Telegram и безопасности вы можете найти этот вопрос интересным security.stackexchange.com/questions/49782/is-telegram-secure
Reverent Lapwing
1
Связанный вопрос, говорящий о Windows, но та же концепция: security.stackexchange.com/q/178814/84287
JPhi1618
2
Рецензенты: У меня есть трудное время , видя , как этот вопрос в первую очередь на основе мнений. Ответы могут - и имеют - объяснил соответствующие соображения безопасности.
Элия ​​Каган
4
Обязательный XKCD: xkcd.com/1200
Андреа
1
Это предупреждение вообще существует в Ubuntu?
user253751

Ответы:

26

Файл является двоичным исполняемым файлом. Он уже скомпилирован из своего исходного кода в форму, которую может выполнять ваш процессор, и вам нужно только попросить его выполнить для запуска.

Программное обеспечение, которое вы загружаете при запуске менеджера пакетов, такого как APT, также включает в себя предварительно скомпилированные двоичные файлы, поэтому в этом типе файлов нет ничего особенного. Упаковка файлов делает полезные вещи , как говорит менеджер пакетов , где в файловой системе двоичные файлы должны быть скопированы, а также предоставляет сценарии , которые делают , что программа может найти какие - либо общие библиотеки и другие программы , которые она зависит от и окружающей среды , это требует настроить при необходимости.

Причина, по которой вы можете считать эту программу небезопасной, заключается в том, что она поступает из неизвестного источника, тогда как пакеты из репозиториев Ubuntu взяты из известного источника и защищены процессом проверки подписи, который гарантирует, что они не были подделаны на пути к вашей системе.

По сути, загрузка и запуск исполняемых файлов из неизвестных источников небезопасны, если только вы не доверяете провайдеру и не можете убедиться, что загрузка достигла вас в целости и сохранности. В последнем случае дистрибьюторы могут предоставить какую-то контрольную сумму, которую вы можете использовать для проверки того, что загруженный ими файл имеет то же содержимое, что и загруженный вами.

В частности, одна из обнадеживающих особенностей Telegram - это открытый исходный код:

Это программное обеспечение доступно под лицензией GPL v3.
Исходный код доступен на GitHub .

Это означает, что любой может прочитать исходный код программы, чтобы убедиться, что она не сделает ничего нежелательного для вашей системы. На практике чтение исходного кода, чтобы убедиться, что программа безопасна, не то, что большинство конечных пользователей хотят тратить на то, чтобы делать или учиться делать. Тем не менее, я верю в вовлеченное сообщество, чтобы найти уязвимости и ошибки в программном обеспечении с открытым исходным кодом.

Что касается того, почему Ubuntu не жалуется, что программа небезопасна, ну, издеваться над пользователями по поводу их сомнительных решений не является традицией Linux. Система Linux обычно предназначена для того, чтобы делать то, что вы просите, и ничего больше. Пользователь считается ответственным за осведомленность о проблемах безопасности и других потенциальных подводных камнях и редко будет предупрежден о том, что он собирается скомпрометировать или повредить свою систему.

Я использую PPA для Telegram, см. Этот ответ для всех способов установки Telegram . PPA используют механизм проверки подписи APT, но они все еще имеют некоторые риски, потому что вы доверяете сопровождающему. PPA обеспечивают некоторое удобство: обновление при запуске обновлений (если сопровождающий обновляет PPA), информирование менеджера пакетов о наличии программного обеспечения и т. Д.

Занна
источник
6
« Система Linux обычно предназначена для того, чтобы делать то, что вы просите, и ничего больше». Два слова: Леннарт Поэттеринг.
RonJohn
6
Принимая во внимание, что источник Telegram находится на Github, это не значит, что скомпилированный бинарный файл, который вы скачали, был сгенерирован с использованием точно такого же источника. Итак, в конце концов, настоящая проблема здесь - доверие ко всей цепочке, которая лучше обрабатывается вашими пакетами ОС.
jjmontes
Конечно, он мог отказаться от этого двоичного файла, взять этот исходный код и сам скомпилировать его, и использовать его, или сравнить с имеющимся у него двоичным файлом, если он скомпилирует его точно таким же образом (хотя это потенциально трудно воспроизвести).
ttbek
1
@RonJohn, я не могу найти ничего, что проясняет, почему вы упоминаете его в связи с (в отличие от?) Этим предложением. Вы говорите о какой-то неясной поломке ожидания PulseAudio или о чем-то еще?
Wildcard
2
«убедитесь, что загрузка дошла до вас нетронутой. В конце концов, дистрибьюторы могут предоставить какую-то контрольную сумму, которую вы можете использовать, чтобы проверить, что загруженный ими файл имеет то же содержимое, что и загруженный вами». - обратите внимание, что это не добавляет никакой дополнительной безопасности, если контрольная сумма перешла к вам по тому же каналу, что и загрузка, как это могло бы быть также подделано.
Джон Бентли
11

Локально установленное программное обеспечение

Программное обеспечение, загруженное (или скопированное локально любым способом) и запущенное локально (от вашего пользователя), потенциально может делать все, для чего вам не требуются права администратора. Это включает удаление ваших (личных) файлов, которые большинство из нас сочло бы вредными.

Если вы вошли во что-либо, и программа работает от вашего имени, то же самое, но также подумайте о скриптах или командах, которые вы, возможно, добавили в файл sudoers.

Если у вас есть учетная запись администратора, и программное обеспечение запрашивает ваш пароль, и вы случайно даете его, все может произойти.

Предупреждение?

Без указания пароля потенциальный ущерб будет ограничен вашей учетной записью. Вы не хотели бы, чтобы Ubuntu предупреждал вас о каждой команде, которую вы запускаете, умышленно или нет.

Вот почему вы просто не должны запускать код из источников, которые вы не знаете, можете ли вы доверять им, если вы не полностью понимаете код.

Якоб Влейм
источник
7
«потенциальный ущерб будет ограничен вашей собственной учетной записью» - не то, чтобы я не соглашался с основным принципом, но, честно говоря, я не могу думать о каких-либо ценных данных на моей машине, которые НЕ находятся на моей учетной записи.
Мирек Длугош
11
@ MirosławZalewski обязательно xkcd: xkcd.com/1200
Олорин
В дополнение к xkcd: вредоносная программа может пытаться спамить или взламывать другие серверы (я уже видел это в действии). Это не только раздражает других, но и может привести вас в черные списки.
Алло