Czy bezpiecznie jest uruchamiać aplikacje, które nie wymagają instalacji?

Mam Ubuntu 14.04 LTS

Pobrałem Telegram stąd . Plik został skompresowany z rozszerzeniem tar.xz.

Rozpakowałem ten plik i uruchom go Telegram(bez rozszerzenia), używając zwykłego użytkownika (nie administratora). Aplikacja została uruchomiona i działała poprawnie.

Ale dlaczego Ubuntu nie mówi mi: „Nie uruchamiaj tej aplikacji, ponieważ nie jest bezpieczna”?

Czy naprawdę bezpieczne jest uruchamianie takich aplikacji, które nie wymagają instalacji, które działają łatwo po dwukrotnym kliknięciu?

Jak nazywają się takie aplikacje? Jakie mają imiona? "Przenośny"?

Plik jest binarnym plikiem wykonywalnym. Został już skompilowany z kodu źródłowego do postaci, którą może wykonać Twój procesor i musisz tylko poprosić o wykonanie go, aby mógł działać.

Oprogramowanie, które pobierasz, gdy uruchamiasz menedżera pakietów, takiego jak APT, zawiera również wstępnie skompilowane pliki binarne, więc nie ma nic dziwnego w tego typu plikach. Pakowanie plików robi pomocnych rzeczy jak mówienie menedżera pakietów, gdzie w systemie plików binarnych należy skopiować do i dostarcza skrypty, które upewnij się, że program może znaleźć żadnych udostępnianych bibliotek i innych programów to zależy i środowiska Trzeba tylko skonfiguruj w razie potrzeby.

Powodem, dla którego możesz uznać ten program za niebezpieczny, jest to, że pochodzi on z nieznanego źródła, podczas gdy pakiety z repozytoriów Ubuntu pochodzą ze znanego źródła i są chronione przez proces weryfikacji podpisu, który zapewnia, że ​​nie zostały zmienione w drodze do twojego systemu.

Zasadniczo pobieranie i uruchamianie plików wykonywalnych z nieznanych źródeł jest niepewne, chyba że ufasz dostawcy i możesz sprawdzić, czy pobieranie dotarło do Ciebie w nienaruszonym stanie. W tym ostatnim przypadku dystrybutorzy mogą zapewnić pewną sumę kontrolną, której można użyć do sprawdzenia, czy przesłany plik ma taką samą zawartość, jak pobrany.

Jedną z zachęcających rzeczy w szczególności w Telegram jest to, że jest to oprogramowanie open source:

To oprogramowanie jest dostępne na licencji GPL v3.
Kod źródłowy jest dostępny na GitHub .

Oznacza to, że każdy może odczytać kod źródłowy programu, aby upewnić się, że nie zrobi on nic niepożądanego w twoim systemie. W praktyce czytanie kodu źródłowego, aby upewnić się, że program jest bezpieczny, nie jest czymś, co większość użytkowników końcowych chce spędzać czas na robieniu lub nauce. Mimo to wierzę w zaangażowaną społeczność w znajdowanie luk w zabezpieczeniach i błędów w oprogramowaniu open source.

Jeśli chodzi o to, dlaczego Ubuntu nie narzeka, że ​​program jest niebezpieczny, cóż, przeklinanie użytkownika w związku z jego wątpliwymi decyzjami nie jest tradycją Linuksa. System Linux jest zwykle zaprojektowany do robienia tego, o co go prosisz, i nic więcej. Uznaje się, że użytkownik jest odpowiedzialny za świadomość problemów bezpieczeństwa i innych potencjalnych pułapek i rzadko będzie ostrzegany, że może narazić swój system na szwank lub uszkodzenie.

Korzystam z PPA dla Telegramu. Zobacz tę odpowiedź na wszystkie sposoby instalacji Telegramu . Umowy PPA korzystają z mechanizmu weryfikacji podpisów APT, ale nadal wiążą się z pewnym ryzykiem, ponieważ pokładasz zaufanie w opiekunie. Umowy PPA zapewniają pewną wygodę, aktualizując po uruchomieniu aktualizacji (jeśli opiekun aktualizuje PPA), informując menedżera pakietów, że masz oprogramowanie i tak dalej.

Oprogramowanie zainstalowane lokalnie

Oprogramowanie, pobrane (lub skopiowane lokalnie w jakikolwiek sposób) i uruchomione lokalnie (od użytkownika) może potencjalnie zrobić wszystko, co nie wymaga uprawnień administratora. Obejmuje to usunięcie twoich (osobistych) plików, które większość z nas uznałaby za szkodliwe.

Jeśli jesteś zalogowany, a oprogramowanie działa jako użytkownik, to samo, ale pomyśl także o skryptach lub poleceniach, które mogłeś dodać do pliku sudoers.

Jeśli masz konto administratora, a oprogramowanie prosi o hasło i przypadkowo je podajesz, wszystko może się zdarzyć.

Ostrzeżenie?

Bez podania hasła potencjalne szkody będą ograniczone do Twojego konta. Nie chciałbyś, aby Ubuntu ostrzegał cię przed każdym wykonanym poleceniem, celowo lub nie.

Właśnie dlatego nie powinieneś uruchamiać kodu ze źródeł, których nie wiesz, czy możesz im ufać, chyba że w pełni rozumiesz kod.