الرئيسيةأنظمة التشغيلwindowsتذكر عناصر تحكم ActiveX ، أكبر خطأ على الويب
windowsالخصوصية والأمن

تذكر عناصر تحكم ActiveX ، أكبر خطأ على الويب

ما هي عناصر تحكم ActiveX؟

تعد عناصر تحكم ActiveX نوعًا من البرامج التي يمكن تضمينها في تطبيقات أخرى. استخدمتها Microsoft لمجموعة متنوعة من الأغراض – على سبيل المثال ، يمكنك تضمين عناصر تحكم ActiveX في مستندات Microsoft Office. ومع ذلك ، فإننا نركز هنا على ActiveX للويب. بدءًا من Internet Explorer 3.0 في عام 1996 ، سمحت Microsoft لمطوري الويب بتضمين عناصر تحكم ActiveX في صفحات الويب الخاصة بهم.

في ذلك الوقت ، عندما قمت بزيارة صفحة ويب ، سيطالبك Internet Explorer بتنزيل وتشغيل أي عناصر تحكم ActiveX حددتها صفحة الويب.

تم تنفيذ المكونات الإضافية الشائعة لـ Internet Explorer مثل Adobe Flash و Adobe Shockwave و RealPlayer و Apple QuickTime و Windows Media Player باستخدام عناصر تحكم ActiveX.

كان الأمن مشكلة منذ البداية

كانت فترة التسعينيات مختلفة ، مما جلب لنا أيضًا  وحدات ماكرو خطيرة في مستندات Office . في الأصل ، كانت عناصر تحكم ActiveX مثل أي برنامج آخر على جهاز الكمبيوتر الخاص بك. عندما قمت بتشغيل عنصر تحكم ActiveX ، كان لديه حق الوصول الكامل إلى كل شيء على جهاز الكمبيوتر الخاص بك.

بمعنى آخر ، يمكنك زيارة صفحة ويب في Internet Explorer وترى مطالبة تفيد بأن صفحة الويب تريد تشغيل لعبة أو برنامج آخر. إذا وافقت ، فسيكون عنصر تحكم ActiveX قادرًا على فعل أي شيء يريده مع جميع الملفات والبرامج الموجودة على جهاز الكمبيوتر الخاص بك. من السهل أن ترى كيف كان هذا مثاليًا للبرامج الضارة.

كان هذا في تناقض صارخ مع تقنية Java الخاصة بشركة Sun. في ذلك الوقت ، تم استخدام Java أيضًا لتشغيل البرامج على صفحات الويب داخل متصفحات الويب. ومع ذلك ، حاولت Java تحديد ما يمكن أن تفعله هذه البرامج من خلال استخدام صندوق الحماية . تحتوي Java في متصفح الويب في النهاية على تاريخ طويل من الثغرات الأمنية — ولكن على الأقل كانت Java تحاول تحديد ما يمكن أن تفعله التطبيقات.

اقرأ أيضاً :  استمرار استدعاء مفاتيح أمان الأجهزة ؛ هل هم آمنون؟

مقالة CNET من عام 1997 تجسد موقف Microsoft في ذلك الوقت:

تمضي المقالة لتوضيح أن Microsoft قامت بتضمين نظام “مساءلة” يسمى Authenticode. يمكن لمطوري البرامج اختيار ختم عناصر تحكم ActiveX الخاصة بهم بتوقيع رقمي ، لكنه لم يكن إلزاميًا. يمكن تعقب المطورين الذين قاموا بإنشاء عناصر تحكم ActiveX الضارة بسهولة أكبر – إذا اختاروا التوقيع على عناصر التحكم الخاصة بهم.

مع اعتماد Microsoft في البداية على نظام الشرف ، من السهل معرفة كيف أصبح ActiveX وسيلة شائعة لتقديم البرامج الضارة وبرامج التجسس لمستخدمي Internet Explorer.

تم تصميم ActiveX للويب القديم

كان هناك وقت لم تكن فيه تقنيات الويب قوية جدًا. إذا كنت تريد شيئًا أكثر تقدمًا من النص والصور – حتى لو أردت فقط تضمين مقطع فيديو في صفحة ويب – فأنت بحاجة إلى نوع من المكونات الإضافية للمتصفح.

تم تصميم ActiveX لعالم لا يمكنك فيه إنشاء تطبيقات معقدة وكاملة الميزات باستخدام HTML و JavaScript وتقنيات حديثة أخرى ، كما يمكنك اليوم.

تحولت العديد من المؤسسات إلى عناصر تحكم ActiveX لإضافة وظائف إلى مواقع الويب الخاصة بهم. استخدمت العديد من الشركات عناصر تحكم ActiveX داخليًا أيضًا لتقديم البرامج بسرعة إلى أجهزة الكمبيوتر التجارية الخاصة بهم. عندما تصل إلى إحدى صفحات الويب هذه باستخدام Internet Explorer ، سيطالبك بتنزيل عنصر تحكم ActiveX وستقوم بتشغيل البرنامج.

جميل وسهل – سهل للغاية. ربما يطير ذلك على الشبكة الداخلية للشركة (الإنترانت) حيث يكون كل شيء جديرًا بالثقة. ولكن على شبكة الإنترنت الجامحة ، تسبب هذا في الكثير من المشاكل.

اكتف اكس كان فوضى أمنية

من الناحية المفاهيمية ، واجه ActiveX مشكلتين كبيرتين في مجال الأمان. أولاً ، قد يطالبك موقع ويب ضار بتثبيت عنصر تحكم ActiveX ضار ، وكان من السهل جدًا على مستخدمي Internet Explorer الموافقة على المطالبة وتثبيته.

اقرأ أيضاً :  كيفية تثبيت Windows 10 من Android

ثانيًا ، قد يكون وجود خطأ في عنصر تحكم ActiveX شرعي مشكلة. إذا كان لديك إصدار قديم من Adobe Flash مثبتًا ، على سبيل المثال ، يمكن لموقع ويب ضار الاستفادة من ذلك والوصول إلى جهاز الكمبيوتر بالكامل – نظرًا لأن عناصر تحكم ActiveX مثل Flash كان لها حق الوصول إلى جهاز الكمبيوتر بالكامل.

كانت هذه مشكلة كبيرة ، حقًا ، نظرًا لأن عناصر تحكم ActiveX لا تحتوي غالبًا على أنظمة تحديث تلقائية.

بمرور الوقت ، استمرت Microsoft في تشديد إعدادات الأمان وإضافة حماية إضافية مثل “الوضع المحمي” و ” الوضع المحمي المحسن “. على سبيل المثال ، يحتوي Internet Explorer على قائمة مضمنة بعناصر تحكم ActiveX القديمة  التي يرفض تحميلها. يوفر Internet Explorer تحذيرات إضافية قبل تنزيل عناصر تحكم ActiveX وتحميلها. تم تقديم إعدادات أمان أخرى تسمح لمنشئي عنصر تحكم ActiveX بتقييد عناصر تحكم ActiveX لتعمل فقط على مواقع ويب معينة ، على سبيل المثال.

مثال على ذلك: طلب موقع Microsoft على الويب ذات مرة عنصر تحكم ActiveX “Download Manager” Akamai لتنزيل ملفات معينة. يتطلب مدير التنزيل هذا وصولاً كاملاً إلى جهاز الكمبيوتر بالكامل ، وبالطبع ، يتم تشغيله فقط في Internet Explorer. ليس من المستغرب أن يكون لبرنامج Download Manager هذا ثغرات أمنية خاصة به . هل يبدو ذلك حلاً جيدًا لتنزيل الملفات بدلاً من الاعتماد فقط على أداة تنزيل الملفات المضمنة في متصفح الويب؟

لم تكن عناصر تحكم ActiveX مشتركة بين الأنظمة الأساسية

كانت ActiveX إحدى تقنيات Microsoft التي تعمل بشكل أفضل في Internet Explorer على Windows. كانت هناك بعض المكونات الإضافية التي أضافت دعمًا إلى المتصفحات المنافسة ، مثل Netscape Navigator (سلف Mozilla Firefox) ، ولكن الأمر كله يتعلق ببرنامج Internet Explorer.

اقرأ أيضاً :  كيف يكسر تحديث Windows 10 1903 متصفحات Chromium

من الناحية الفنية ، كان ActiveX عبر الأنظمة الأساسية. أضافت Microsoft دعم ActiveX إلى Internet Explorer لنظام التشغيل Mac. ومع ذلك ، على عكس Java (الذي كان يعمل عبر الأنظمة الأساسية) ، فإن عناصر تحكم ActiveX المكتوبة لنظام التشغيل Windows لن تعمل على جهاز Mac. سيتعين على المطورين إنشاء عناصر تحكم ActiveX لنظام التشغيل Mac.

على سبيل المثال ، قامت كوريا الجنوبية بالتوحيد القياسي لعنصر تحكم ActiveX الذي كان مطلوبًا للوصول إلى مواقع الويب المالية والحكومية الآمنة في التسعينيات. تم إغلاقها بالكامل فقط في عام 2020 ، وأجبر الاعتماد على ActiveX الأشخاص على استخدام تلك التقنية القديمة التي عفا عليها الزمن لفترة طويلة. كما كتبت الواشنطن بوست ذات مرة ، “كانت كوريا الجنوبية عالقة مع Internet Explorer للتسوق عبر الإنترنت” في عام 2013. توضح المقالة كيف كان على مستخدمي Mac الاعتماد على أجهزة كمبيوتر سطح المكتب في مكاتبهم ، أو مقاهي الإنترنت ، أو أجهزة الكمبيوتر القديمة ، أو Boot Camp من أجل إجراء عمليات شراء عبر الإنترنت.

لعبت مثل هذه المواقف بطرق مماثلة في أماكن أخرى: الشركات التي قامت بتوحيد معايير ActiveX لتقديم التطبيقات الداخلية كانت عالقة اعتمادًا على Internet Explorer على Windows حتى تركت ActiveX في الخلف.

كيف يكون الويب الحديث أفضل

من منظور أمني ، فإن الويب الحديث أفضل بكثير. عند تحميل صفحة ويب ، يقوم متصفح الويب بتحميل وتشغيل صفحة الويب هذه في صندوق الحماية المعزول الخاص به. لا يعتمد مستعرض الويب على ActiveX أو Java أو Flash أو أي نوع آخر من برامج الجهات الخارجية التي تشغل جزءًا من صفحة الويب.

لا توجد طريقة تتيح لموقع ويب تقديم رمز يتمتع بوصول كامل إلى كل شيء موجود على جهاز الكمبيوتر الخاص بك – ليس بدون تنزيل ملف EXE يعمل بالكامل خارج المتصفح على Windows ، على سبيل المثال.

يقوم مستعرض الويب الخاص بك بتحديث نفسه تلقائيًا ، لذلك لا يوجد خطر من وجود تعليمات برمجية قديمة حول صفحات الويب وتظل قابلة للوصول إليها دون الحصول على تصحيحات أمان – كما كان الحال مع ActiveX.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

error: عفوا محتوي هذا الموقع محمي بموجب قانون الألفية للملكية الرقمية !!