क्या उन ऐप्स को चलाना सुरक्षित है जिन्हें किसी इंस्टॉलेशन की आवश्यकता नहीं है?

15

मेरे पास Ubuntu 14.04 LTS है

मैंने यहाँ से Telegram डाउनलोड किया है । फ़ाइल को एक्सटेंशन के साथ संपीड़ित किया गया था tar.xz

मैंने इस फ़ाइल को अनपैक किया है और Telegramआम उपयोगकर्ता (व्यवस्थापक नहीं) का उपयोग करके फ़ाइल (एक्सटेंशन के बिना) चला रहा हूं । आवेदन शुरू किया और ठीक काम किया।

लेकिन उबंटू ने मुझे यह क्यों नहीं बताया, "इस ऐप को न चलाएं, क्योंकि यह सुरक्षित नहीं है"

क्या ऐसे एप्लिकेशन चलाना वास्तव में सुरक्षित है, जिन्हें इंस्टॉलेशन की आवश्यकता नहीं है, जो डबल क्लिक होने पर आसानी से चलते हैं?

और इस तरह के ऐप क्या कहलाते हैं? उनके पास क्या नाम है? "पोर्टेबल"?

security  telegram 
डी। केटी
स्रोत
1
टेलीग्राम और सुरक्षा के विषय पर आप इस प्रश्न दिलचस्प लग सकते security.stackexchange.com/questions/49782/is-telegram-secure
श्रद्धालु लैपविंग
1
संबंधित प्रश्न विंडोज के बारे में बात कर रहे हैं, लेकिन एक ही अवधारणा: Security.stackexchange.com/q/178814/84287
JPhi1618
2
समीक्षक: मेरे पास यह देखने का एक कठिन समय है कि यह प्रश्न मुख्य रूप से राय-आधारित कैसे है। उत्तर प्रासंगिक सुरक्षा विचारों पर व्याख्या कर सकते हैं - और हैं।
एलियाह कगन
4
अप्रचलित XKCD: xkcd.com/1200
एंड्रिया लाज़रोज़ेटो
1
क्या यह चेतावनी उबंटू में भी मौजूद है?
user253751

जवाबों:

26

फ़ाइल एक द्विआधारी निष्पादन योग्य है। यह पहले से ही अपने स्रोत कोड से एक रूप में संकलित किया गया है जिसे आपका सीपीयू निष्पादित कर सकता है और आपको इसे चलाने के लिए केवल इसे निष्पादित करने के लिए कहना होगा।

जब आप पैकेज मैनेजर चलाते हैं, तो आप एपीटी जैसे सॉफ्टवेयर को सामान्य रूप से संकलित बायनेरिज़ में शामिल करते हैं, इसलिए इस प्रकार की फ़ाइल के बारे में कुछ भी अजीब नहीं है। फाइलों की पैकेजिंग पैकेज मैनेजर को यह बताने में मदद करती है कि फाइलसिस्टम में बायनेरिज़ को कॉपी करने की आवश्यकता कहां है, और स्क्रिप्ट प्रदान करता है जो यह सुनिश्चित करता है कि प्रोग्राम किसी भी साझा लाइब्रेरी और अन्य कार्यक्रमों को खोज सकता है जो उस पर निर्भर करता है और इसके लिए आवश्यक वातावरण है जरूरत पड़ने पर सेट करें।

इस कार्यक्रम को असुरक्षित मानने का कारण यह है कि यह एक अज्ञात स्रोत से आता है, जबकि उबंटू रिपॉजिटरी के पैकेज एक ज्ञात स्रोत से होते हैं और एक हस्ताक्षर सत्यापन प्रक्रिया द्वारा संरक्षित होते हैं जो सुनिश्चित करता है कि आपके सिस्टम में उनके साथ छेड़छाड़ नहीं की गई है।

मूल रूप से, अज्ञात स्रोतों से निष्पादन को डाउनलोड करना और चलाना असुरक्षित है, जब तक कि आप प्रदाता पर भरोसा नहीं करते हैं और आप सत्यापित कर सकते हैं कि डाउनलोड आपके पास पहुंच गया है। बाद के अंत तक, वितरक कुछ प्रकार के चेकसम प्रदान कर सकते हैं जिन्हें आप यह जांचने के लिए उपयोग कर सकते हैं कि उनके द्वारा अपलोड की गई फ़ाइल में वही सामग्री है जिसे आपने डाउनलोड किया था।

विशेष रूप से टेलीग्राम के बारे में एक उत्साहजनक बात यह है कि यह खुला स्रोत है:

यह सॉफ्टवेयर GPL v3 लाइसेंस के तहत उपलब्ध है।
स्रोत कोड GitHub पर उपलब्ध है

इसका मतलब यह है कि कोई भी प्रोग्राम के सोर्स कोड को पढ़ सकता है, यह सुनिश्चित करने के लिए कि यह आपके सिस्टम के लिए अवांछनीय कुछ भी नहीं करेगा। व्यवहार में, यह सुनिश्चित करने के लिए कि प्रोग्राम सुरक्षित है स्रोत कोड को पढ़ना कुछ सबसे अंत नहीं है जो उपयोगकर्ता समय बिताने या सीखने का समय बिताना चाहते हैं। फिर भी, मुझे खुले स्रोत सॉफ़्टवेयर में सुरक्षा भेद्यता और कीड़े खोजने के लिए शामिल समुदाय पर कुछ विश्वास है।

उबंटू इस बात की शिकायत क्यों नहीं करता कि प्रोग्राम असुरक्षित है, ठीक है, उपयोगकर्ता को उनके संदिग्ध निर्णयों के बारे में बताने से बुरा नहीं लगता है। एक लिनक्स सिस्टम को आमतौर पर वह करने के लिए डिज़ाइन किया जाता है जिसे आप उससे पूछते हैं, और कुछ नहीं। उपयोगकर्ता को सुरक्षा के मुद्दों और अन्य संभावित नुकसानों के बारे में जागरूकता रखने के लिए जिम्मेदार माना जाता है और शायद ही कभी चेतावनी दी जाएगी कि वे इस प्रणाली से समझौता या क्षति के बारे में हैं।

मैं टेलीग्राम स्थापित करने के सभी तरीकों के लिए टेलीग्राम के लिए एक पीपीए का उपयोग करता हूं । पीपीए एपीटी के हस्ताक्षर सत्यापन तंत्र का उपयोग करते हैं, लेकिन उनके पास अभी भी कुछ जोखिम हैं क्योंकि आप अपने विश्वास को बनाए रख रहे हैं। PPAs कुछ सुविधा प्रदान करते हैं, जब आप अपडेट चलाते हैं (यदि अनुरक्षक PPA को अपडेट करता है), तो पैकेज प्रबंधक को अवगत कराएं कि आपके पास सॉफ्टवेयर है और इसी तरह।

Zanna
स्रोत
6
" लिनक्स सिस्टम आमतौर पर ऐसा करने के लिए डिज़ाइन किया गया है जो आप इसे पूछते हैं, और कुछ नहीं। " दो शब्द: लेनार्ट पोइटरिंग।
RonJohn
6
जबकि टेलीग्राम स्रोत जीथब पर है, इसका मतलब यह नहीं है कि आपके द्वारा डाउनलोड किया गया संकलित बाइनरी बिल्कुल उसी स्रोत का उपयोग करके उत्पन्न किया गया था। इसलिए अंत में, यहां वास्तविक समस्या पूरी श्रृंखला पर भरोसा है, जो आपके ओएस संकुल द्वारा बेहतर तरीके से नियंत्रित की जाती है।
जेजमोंटेस
बेशक वह इस बाइनरी को खोद सकता है, उस स्रोत को ले सकता है, और इसे स्वयं संकलित कर सकता है, और इसका उपयोग कर सकता है, या बाइनरी के साथ उसकी तुलना कर सकता है यदि वह इसे ठीक उसी तरह से संकलित करता है (हालांकि इसे दोहराने के लिए संभवतः मुश्किल है)।
ttbek
1
@RonJohn, मुझे कुछ भी नहीं मिला जो स्पष्ट करता है कि आप उस वाक्य के साथ उसके संबंध में क्यों उल्लेख कर रहे हैं? क्या आप कुछ अस्पष्ट PulseAudio अपेक्षा टूटना, या कुछ और के बारे में बात कर रहे हैं?
वाइल्डकार्ड
2
"सत्यापित करें कि डाउनलोड आप तक पहुंच गया है। बाद के अंत तक, वितरक कुछ प्रकार के चेकसम प्रदान कर सकते हैं जो आप यह जांचने के लिए उपयोग कर सकते हैं कि उनके द्वारा अपलोड की गई फ़ाइल में वही सामग्री है जो आपने डाउनलोड की थी।" - ध्यान दें कि यह किसी भी अतिरिक्त सुरक्षा को नहीं जोड़ता है अगर चेकसम ने आपको डाउनलोड के रूप में उसी चैनल के नीचे यात्रा की है, क्योंकि इसमें छेड़छाड़ भी हो सकती थी।
जॉन बेंटले
11

स्थानीय रूप से स्थापित सॉफ्टवेयर

सॉफ्टवेयर, डाउनलोड (या किसी भी तरह से स्थानीय रूप से कॉपी किया हुआ) और स्थानीय रूप से (आपके उपयोगकर्ता से) चलाने से संभावित रूप से कुछ भी हो सकता है जिसके लिए आपको व्यवस्थापक अनुमति की आवश्यकता नहीं है। इसमें आपकी (व्यक्तिगत) फ़ाइलों को निकालना शामिल है, जो हम में से अधिकांश को हानिकारक लगेगी।

यदि आप कुछ भी लॉग इन करते हैं, और सॉफ़्टवेयर आपके उपयोगकर्ता, डिट्टो के रूप में चलता है, लेकिन उन स्क्रिप्ट या कमांड के बारे में भी सोचें जिन्हें आपने sudoers फ़ाइल में जोड़ा होगा।

यदि आपके पास एक व्यवस्थापक खाता है, और सॉफ़्टवेयर आपके पासवर्ड के लिए पूछता है और आप गलती से दे देते हैं, तो कुछ भी हो सकता है।

चेतावनी?

अपना पासवर्ड दिए बिना, संभावित नुकसान आपके अपने खाते तक ही सीमित रहेगा। आप उबंटू नहीं चाहते हैं कि आप प्रत्येक और हर कमांड के लिए आपको चेतावनी दें, जानबूझकर या नहीं।

इसलिए आपको केवल उन स्रोतों से कोड नहीं चलाना चाहिए जिन्हें आप नहीं जानते कि क्या आप उन पर भरोसा कर सकते हैं, जब तक कि आप कोड को पूरी तरह से नहीं समझते।

जैकब व्लिजम
स्रोत
7
"संभावित नुकसान आपके अपने खाते तक सीमित होगा" - ऐसा नहीं है कि मैं मुख्य सिद्धांत से असहमत हूं, लेकिन ईमानदार होने के लिए, मैं अपनी मशीन पर किसी भी मूल्यवान डेटा के बारे में नहीं सोच सकता हूं जो मेरे खुद के खाते पर नहीं है।
मिरेक डेलुगोस
11
@ MirosławZalewski अनिवार्य xkcd: xkcd.com/1200
Olorin
Xkcd के अलावा: एक मैलवेयर स्पैम या अन्य सर्वर को हैक करने की कोशिश कर सकता है (मैंने पहले ही इसे कार्रवाई में देखा था)। यह न केवल दूसरों के लिए कष्टप्रद है, बल्कि आपको ब्लैक लिस्ट में भी ला सकता है।
अलो
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.