Ist es sicher, Apps auszuführen, für die keine Installation erforderlich ist?

15

Ich habe Ubuntu 14.04 LTS

Ich habe Telegramm von hier heruntergeladen . Die Datei wurde mit der Endung komprimiert tar.xz.

Ich habe diese Datei entpackt und die Datei Telegram(ohne Erweiterung) mit einem normalen Benutzer (nicht admin) ausgeführt. Die Anwendung wurde gestartet und funktionierte einwandfrei.

Aber warum sagt mir Ubuntu nicht: "Führen Sie diese App nicht aus, weil sie nicht sicher ist"?

Ist es wirklich sicher, solche Anwendungen auszuführen, für die keine Installation erforderlich ist und die beim Doppelklicken problemlos ausgeführt werden können?

Und wie heißen Apps wie diese? Welchen Namen haben sie? "Tragbar"?

security telegram D. Ktt
quelle
1
zum Thema Telegramm und Sicherheit könnte Sie diese Frage interessieren security.stackexchange.com/questions/49782/is-telegram-secure
Reverent Lapwing
1
Verwandte Frage zu Windows, aber das gleiche Konzept: security.stackexchange.com/q/178814/84287
JPhi1618
2
Rezensenten: Es fällt mir schwer zu verstehen, dass diese Frage in erster Linie auf Meinungen basiert. Antworten können - und haben - die relevanten Sicherheitsaspekte erläutert.
Eliah Kagan
4
Obligatorische XKCD: xkcd.com/1200
Andrea Lazzarotto
1
Ist diese Warnung noch existieren in Ubuntu?
user253751

Antworten:

26

Die Datei ist eine ausführbare Binärdatei. Es wurde bereits aus dem Quellcode in eine Form kompiliert, die Ihre CPU ausführen kann, und Sie müssen nur die Ausführung anfordern, damit es ausgeführt werden kann.

Die Software, die Sie herunterladen, wenn Sie einen Paketmanager wie APT im Allgemeinen ausführen, enthält auch vorkompilierte Binärdateien, sodass diese Art von Datei keine Besonderheiten aufweist. Durch das Packen der Dateien können Sie beispielsweise dem Paketmanager mitteilen, wo im Dateisystem die Binärdateien kopiert werden müssen, und Skripts bereitstellen, die sicherstellen, dass das Programm alle gemeinsam genutzten Bibliotheken und andere Programme findet, von denen es abhängig ist, und die Umgebung, die es benötigt bei Bedarf einrichten.

Der Grund, warum Sie dieses Programm für unsicher halten könnten, ist, dass es aus einer unbekannten Quelle stammt, wohingegen Pakete aus Ubuntu-Repositorys aus einer bekannten Quelle stammen und durch einen Signaturprüfprozess geschützt sind , der sicherstellt , dass sie auf ihrem Weg zu Ihrem System nicht manipuliert wurden.

Grundsätzlich ist das Herunterladen und Ausführen von ausführbaren Dateien aus unbekannten Quellen unsicher, es sei denn, Sie vertrauen dem Anbieter und können überprüfen, ob der Download Sie intakt erreicht hat. Zu diesem Zweck können Distributoren eine Art Prüfsumme bereitstellen, mit der Sie überprüfen können, ob die von ihnen hochgeladene Datei denselben Inhalt hat wie die heruntergeladene.

Eine ermutigende Sache bei Telegram ist insbesondere, dass es Open Source ist:

Diese Software steht unter der GPL v3 Lizenz zur Verfügung.
Der Quellcode ist auf GitHub verfügbar .

Das bedeutet, dass jeder den Quellcode des Programms lesen kann, um sicherzustellen, dass nichts Unerwünschtes auf Ihrem System passiert. In der Praxis ist das Lesen des Quellcodes, um sicherzustellen, dass das Programm sicher ist, nichts, was die meisten Endbenutzer tun oder lernen möchten. Trotzdem habe ich ein gewisses Vertrauen in die involvierte Community, um Sicherheitslücken und Fehler in Open Source-Software zu finden.

Was den Grund angeht, warum Ubuntu sich nicht über die Unsicherheit des Programms beschwert, ist es nicht die Tradition von Linux, den Benutzer über seine fragwürdigen Entscheidungen zu belästigen. Ein Linux-System ist in der Regel so konzipiert, dass es genau das tut, was Sie verlangen, und sonst nichts. Der Benutzer ist für die Kenntnis von Sicherheitsproblemen und anderen potenziellen Gefahren verantwortlich und wird selten gewarnt, dass er dabei ist, sein System zu gefährden oder zu beschädigen.

Ich verwende einen PPA für Telegramm. In dieser Antwort finden Sie alle Möglichkeiten, um Telegramm zu installieren . PPAs verwenden den Signaturprüfungsmechanismus von APT, sind jedoch mit gewissen Risiken verbunden, da Sie dem Betreuer Ihr Vertrauen schenken. PPAs bieten eine gewisse Bequemlichkeit beim Aktualisieren, wenn Sie Aktualisierungen ausführen (wenn der Betreuer die PPA aktualisiert), und machen den Paketmanager darauf aufmerksam, dass Sie über die Software verfügen, und so weiter.

Zanna
quelle
6
" Ein Linux-System ist in der Regel so konzipiert, dass es genau das macht, was Sie verlangen, und sonst nichts. " Zwei Wörter: Lennart Pöttering.
RonJohn
6
Während sich die Telegrammquelle auf Github befindet, bedeutet dies nicht, dass die kompilierte Binärdatei, die Sie heruntergeladen haben, mit genau derselben Quelle generiert wurde. Das eigentliche Problem ist also letztendlich das Vertrauen in die gesamte Kette, das von Ihren Betriebssystempaketen besser gehandhabt wird.
jjmontes
Natürlich könnte er diese Binärdatei fallen lassen, diese Quelle nehmen und sie selbst kompilieren und verwenden oder sie mit der Binärdatei vergleichen, die er hat, wenn er sie genau auf die gleiche Weise kompiliert (obwohl dies möglicherweise schwierig zu replizieren ist).
ttbek
1
@ RonJohn, ich kann nichts finden, was verdeutlicht, warum Sie ihn im Zusammenhang mit (im Gegensatz zu?) Diesem Satz erwähnen. Sprechen Sie über einen obskuren Bruch der PulseAudio-Erwartung oder etwas anderes?
Wildcard
2
"Vergewissern Sie sich, dass der Download Sie intakt erreicht hat. Zu diesem Zweck stellen die Distributoren möglicherweise eine Art Prüfsumme zur Verfügung, mit der Sie überprüfen können, ob die von ihnen hochgeladene Datei denselben Inhalt hat wie die heruntergeladene." - Beachten Sie, dass dies keine zusätzliche Sicherheit bietet, wenn die Prüfsumme im selben Kanal wie der Download zu Ihnen gelangt ist, da sie auch manipuliert werden könnte.
Jon Bentley
11

Lokal installierte Software

Software, die heruntergeladen (oder auf irgendeine Weise lokal kopiert) und lokal (von Ihrem Benutzer) ausgeführt wird, kann möglicherweise alles tun, wofür Sie keine Administratorrechte benötigen. Dazu gehört das Entfernen Ihrer (persönlichen) Dateien, die die meisten von uns als schädlich empfinden würden.

Wenn Sie bei irgendetwas angemeldet sind und die Software als Ihr Benutzer ausgeführt wird, denken Sie auch an Skripte oder Befehle, die Sie möglicherweise zur sudoers-Datei hinzugefügt haben.

Falls Sie einen Administrator-Account haben und die Software Sie nach Ihrem Passwort fragt und Sie es versehentlich eingeben, kann alles passieren.

Warnung?

Ohne Angabe Ihres Passworts wird der potenzielle Schaden auf Ihr eigenes Konto beschränkt. Sie möchten nicht, dass Ubuntu Sie bei jedem Befehl warnt, den Sie absichtlich ausführen oder nicht.

Aus diesem Grund sollten Sie keinen Code aus Quellen ausführen, von denen Sie nicht wissen, ob Sie ihnen vertrauen können, es sei denn, Sie verstehen den Code vollständig.

Jacob Vlijm
quelle
7
"Der potenzielle Schaden wird auf Ihr eigenes Konto begrenzt" - nicht, dass ich mit dem Hauptprinzip nicht einverstanden bin, aber um ehrlich zu sein, kann ich mir keine wertvollen Daten auf meinem Computer vorstellen, die NICHT auf meinem eigenen Konto liegen.
Mirek Długosz
11
@ MirosławZalewski obligatorisch xkcd: xkcd.com/1200
Olorin
Zusätzlich zum xkcd: Eine Malware könnte versuchen, andere Server zu spammen oder zu hacken (das habe ich bereits in Aktion gesehen). Dies ist nicht nur ärgerlich für andere, sondern kann Sie auch auf schwarze Listen bringen.
Allo