Чи безпечно запускати програми, які не потребують встановлення?

У мене є Ubuntu 14.04 LTS

Я завантажив Telegram звідси . Файл було стиснено з розширенням tar.xz.

Я розпакував цей файл і запустив файл Telegram(без розширення), використовуючи звичайного користувача (не адміністратора). Заявка запустилася і працювала нормально.

Але чому Ubuntu не каже мені: "Не запускайте цю програму, бо це не безпечно"?

Чи справді безпечно запускати такі програми, які не потребують встановлення, які запускаються легко при подвійному натисканні?

А як називаються подібні додатки? Яку назву вони мають? "Портативний"?

Файл є двійковим виконуваним файлом. Він вже був зібраний зі свого вихідного коду у форму, яку може виконати ваш процесор, і вам потрібно лише попросити його виконати для запуску.

Програмне забезпечення, яке ви завантажуєте під час запуску менеджера пакунків, наприклад, APT, загалом, також включає попередньо складені бінарні файли, тому в цьому файлі немає нічого особливого. Упаковка файлів робить корисні речі , як каже менеджер пакетів , де в файлової системі виконавчі файли повинні бути скопійовані, а також надає сценарії , які роблять , що програма може знайти якісь - або спільні бібліотеки та інші програми , які вона залежить від і навколишнього середовища , це вимагає встановити за потреби

Причина, по якій ви можете вважати цю програму небезпечною, полягає в тому, що вона надходить з невідомого джерела, тоді як пакети з репозиторіїв Ubuntu знаходяться з відомого джерела і захищені процесом перевірки підпису, який гарантує, що вони не були підроблені під час дороги до вашої системи.

В основному завантаження та запуск виконуваних файлів з невідомих джерел є незахищеним, якщо ви не довіряєте провайдеру і не зможете переконатися, що завантаження дійшло до вас недоторканим. З цією метою дистриб'ютори можуть надати якусь контрольну суму, яку ви можете використовувати, щоб перевірити, чи завантажений ними файл має той самий вміст, що і завантажений.

Одним із обнадійливих моментів щодо Telegram є те, що він є відкритим кодом:

Це програмне забезпечення доступне за ліцензією GPL v3.
Вихідний код доступний на GitHub .

Це означає, що кожен може прочитати вихідний код програми, щоб переконатися, що він не зробить нічого небажаного для вашої системи. На практиці читання вихідного коду, щоб переконатися, що програма є безпечною, - це не те, що більшість кінцевих користувачів хочуть витрачати час на заняття чи навчання. І все-таки я маю певну віру в залучене співтовариство, щоб знайти вразливості безпеки та помилки у програмному забезпеченні з відкритим кодом.

Що стосується того, чому Ubuntu не скаржиться на те, що програма небезпечна, тож, небезпека користувача щодо їх сумнівних рішень - це не традиція Linux. Система Linux, як правило, призначена для виконання того, про що ви просите, і нічого іншого. Користувача вважають відповідальним за усвідомлення проблем безпеки та інших потенційних підводних каменів, і їх рідко попереджатимуть, що вони збираються поставити під загрозу або пошкодити свою систему.

Я використовую PPA для Telegram, див. Цю відповідь на всі способи встановлення Telegram . PPA використовують механізм підтвердження підписів APT, але вони все ще мають певні ризики, оскільки ви довіряєте технічному обслуговувачу. PPA надають певну зручність, оновлюючись під час запуску оновлень (якщо сервіс оновлює PPA), даючи менеджеру пакунків знати, що у вас є програмне забезпечення тощо.

Місцеве програмне забезпечення

Програмне забезпечення, завантажене (або скопійоване локально будь-яким способом) та запущене на локальному рівні (від вашого користувача) потенційно може робити все, для чого не потрібні права адміністратора. Це включає видалення ваших (особистих) файлів, які більшість із нас вважають шкідливими.

Якщо ви ввійшли в що-небудь, і програмне забезпечення працює як ваш користувач, ditto, але також придумайте сценарії чи команди, які ви могли б додати до файлу sudoers.

Якщо у вас є обліковий запис адміністратора, і програмне забезпечення запитує ваш пароль, і ви випадково його вкажете, все може статися.

Увага?

Без введення пароля потенційна шкода буде обмежена вашим власним обліковим записом. Ви не хочете, щоб Ubuntu попереджав вас про кожну команду, яку ви запускаєте, навмисно чи ні.

Ось чому ви просто не повинні запускати код з джерел, яким ви не знаєте, чи можете їм довіряти, якщо ви повністю не розумієте код.