【TechTarget中国原创】问:我的电脑上没有安装ActiveX控件,因为我听说过很多关于ActiveX控件安全隐患的可怕事情。至于Java运行环境,我不知道我是否需要把它安装在我的电脑上。它是否适合在大公司中使用呢?我已经看到过很多有关Java安全漏洞的警告。你能给我点什么建议呢?
答:ActiveX技术是微软针对IE浏览器开发的。ActiveX控件使得开发者能够对动画显示这类的功能进行封装,然后再嵌入到其他应用程序中。像Microsoft Office这样的应用程序同样也可以使用ActiveX控件来建立自己的功能特性集。在访问计算机资源时,程序员可以授予ActiveX控件较高的优先级,虽然这样做使得它们功能强大,但同时也带来了潜在的危险。
最主要的问题是ActiveX是否安全依赖人们的判断。虽然ActiveX控件是数字签名的,但每一个用户需要自己决定安装并运行哪些控件。虽然认证能防止脚本受到匿名分配或篡改,但该措施还是不能确保代码的实际安全程度。即使IE7引入的新特性“ActiveX控件的选择加入功能”会向用户发出警告,提醒用户目前访问的网页将会运行禁用的控件,但最终仍然是由用户来决定是否启用它。
已签名的软件其实会给用户一种虚化的安全感,而在用户访问已被感染的或恶意的网站时,已签名的ActiveX控件往往被黑客利用来安装恶意软件和间谍软件。该控件的终端用户许可协议(EULA)往往极其冗长,但它通常却只说明了软件的功能而已。因此,这些控件的证书通常是不会被撤销的。
避免恶意ActiveX控件唯一的方法就是运行你以往运行过的控件,并拒绝所有的安装请求。不幸的是,阻止ActiveX控件其实根本不是一个真正的解决问题的方法。如果您使用诸如Word或Excel之类的程序,那么你将必然会使用ActiveX组件。另外,还有许多完全是合法的网站需要运行ActiveX控件来使他们的网站变得更加动态、互动和有用。比如,微软的网站就广泛的使用了ActiveX组件。事实上,当你从微软网站上下载一个补丁或工具软件时,让你所使用的Windows Vista系统生效的许可证验证就需要使用ActiveX控件。
幸运的是,从90年代中期IE浏览器和ActiveX第一次出现起,它们的安全风险就一直在下降。IE8引入了“数据执行保护”特性,该特性能让内存中非执行区域内的代码无法执行,IE8通过这一特性能够向用户提供更加安全的控件。IE8还执行一种叫做“基于网站的ActiveX控件(Per Site ActiveX)”的防御机制,从而限制某些具体领域的ActiveX控件,并防止对控件的恶意再次利用。现在,ActiveX供应商还可以通过发布killbit更新包来防止控件被恶意利用。
至于你是否需要安装Java运行环境(JRE),取决于你是否需要运行Java应用程序。JRE由Java虚拟机、核心类和运行Java应用程序所需最少的支持文件组成。Java的安全性依赖于在“安全沙箱”中运行应用程序的软件技术。在过去,“沙箱”就存在着一些问题。最初,由于“沙箱”的极大限制作用,使得Java applet无法访问计算机的本地驱动器。某些像编辑器这样的程序需要对文件进行存取操作,因此有些支持Java的软件现在需要使用数字签名来解决这种问题。然而,就像ActiveX一样,这并不能保证它们不会被恶意利用。
ActiveX和Java都会引入安全隐患。如果你在电脑上使用它们,那么保持你的操作系统和应用程序更新到最新版本以及下载安全补丁是极为重要的事情。在你每次运行一个被数字签名过的程序前请三思而后行,并永远不要使用存有高度敏感信息的电脑上网。