2001. január 5. 18:20, Péntek
[Register] A Microsoft ActiveX tulajdonképpen mozgatható, indítható Windows-os COM (Component Object Model) vezérlők flexibilis és erőteljes kombinációja. Egyesek szerint azonban túlságosan
is erőteljes.
Ezek a vezérlők egy védett környezet helyett mindig az adott helyi gépen futnak, melyeket aztán el lehet fogadni, vagy el lehet utasítani, azonban nem lehet különböző
megszorításokat hozzájuk rendelni; mindig körülbelül ugyanolyan privilégiumokkal rendelkeznek,
mint akár maguk a felhasználók. Magyarán szólva olyan ez, mint egy biztonsági hazárdjáték.
A legfőbb problémát a dolog "mindent vagy semmit" jellege jelenti, hiszen amennyiben
engedélyezünk egy ilyen modult, akkor amint az elindult, bármit megtehet, így károkozásra
is képes lehet. A felhasználóknak nincs sok választási lehetősége, hiszen csak egy igen/nem
kérdésre válaszolva dönthetik el, hogy fusson-e az adott ActiveX modul, vagy sem.
Az ActiveX vezérlők biztosítására létezik egy módszer, melynek lényege, hogy az adott modult
elkészítő fejlesztők egy biztonsági kóddal látják el, így a felhasználók meggyőződhetnek
arról, hogy az általuk engedélyezni kívánt ActiveX modul eredeti-e, vagy esetleg egy hacker által
már módosított verzióval állnak szemben. Az esetleges rossz szándékú hozzáértőknek sok esetben
nem is kell feltörniük a digitális aláírással ellátott ActiveX modult, hiszen legtöbbször
csak egyszerűen kihasználják az ezekben rejlő hibákat, lyukakat, így könnyedén elrejthetik
bennük a saját károkozásra is képes kódjukat, vagyis senki sem lehet teljes biztonságban az
ilyen támadásoktól.
Az ActiveX vezérlőket egyébként lényegében távirányítva, email-ből, vagy website-ról is
el lehet indítani. A felhasználóknak aztán már nem sok választása marad, hiszen vagy
elfogadja a digitális aláírás miatt biztonságosnak hitt modult, vagy nem. Szakértők azt
állítják, hogy az a tendencia, hogy egy szignálatlan ActiveX controll-ban általában
sokkal inkább meg lehet bízni, mint egy állítólagosan szignált, vagy biztonságosnak tűnő
változatban.
A Microsoft persze nem veszt tudomást a technológiában rejlő biztonsági résekről, inkább
csak áradozik az ActiveX által nyújtott szolgáltatásokról. Computer Emergency Response Team
(CERT) egyébként az elmúlt nyáron tartott egy összejövetelt, melynek fő témája az ActiveX
volt, és ahol megpróbálták megvilágítani az ActiveX-ben rejlő veszélyek kiküszöbölési
lehetőségeit.