インストールが不要なアプリを実行しても安全ですか？

Ubuntu 14.04 LTSがあります

こちらから Telegramをダウンロードしました。ファイルは拡張子で圧縮されましたtar.xz。

このファイルを解凍Telegramし、一般ユーザー（管理者ではない）を使用して（拡張子なしで）ファイルを実行しました。アプリケーションが起動して正常に機能しました。

しかし、なぜUbuntuは「安全ではないので、このアプリを実行しないでください」と私に言わないのですか？

インストールを必要とせず、ダブルクリックすると簡単に実行されるアプリケーションを実行するのは本当に安全ですか？

そして、このようなアプリは何と呼ばれていますか？彼らは何の名前を持っていますか？"ポータブル"？

security telegram

— D. Ktt
ソース

Telegramとセキュリティのトピックでは、この質問に興味深いsecurity.stackexchange.com/questions/49782/is-telegram-secure

— Reverent Lapwing

関連するWindowsについての質問ですが、同じコンセプト：security.stackexchange.com/q/178814/84287

— JPhi1618

レビュアー：この質問が主に意見に基づいていることを理解するのに苦労しています。回答では、関連するセキュリティの考慮事項を説明できましたし、説明しました。

— エリアケイガン

必須XKCD：xkcd.com/1200

— アンドレア

その警告はUbuntuにも存在しますか？

— user253751

回答:

ファイルはバイナリ実行可能ファイルです。ソースコードからCPUが実行できる形式に既にコンパイルされており、実行するために実行するように要求するだけです。

一般にAPTなどのパッケージマネージャーを実行するときにダウンロードするソフトウェアには、事前にコンパイルされたバイナリも含まれているため、このタイプのファイルに特別なものはありません。ファイルのパッケージ化は、パッケージマネージャーにバイナリをコピーする必要があるファイルシステム内の場所を伝えるなどの便利な機能を提供し、プログラムが共有ライブラリや依存する他のプログラムと必要な環境を見つけることができるようにするスクリプトを提供します必要に応じて設定します。

このプログラムを安全でないと考える理由は、未知のソースからのものであるのに対して、Ubuntuリポジトリからのパッケージは既知のソースからのものであり、システムへの途中で改ざんされていないことを保証する署名検証プロセスによって保護されているためです。

基本的に、プロバイダーを信頼し、ダウンロードが正常に到達したことを確認できない限り、未知のソースから実行可能ファイルをダウンロードして実行することは安全ではありません。後者の目的で、ディストリビューターは、アップロードしたファイルがダウンロードしたものと同じコンテンツを持っていることを確認するために使用できるある種のチェックサムを提供する場合があります。

特にTelegramの有望な点は、それがオープンソースであることです：

このソフトウェアは、GPL v3ライセンスで利用できます。
ソースコードはGitHubで入手できます。

これは、だれでもプログラムのソースコードを読み取って、システムにとって望ましくないことを行わないことを確認できることを意味します。実際には、プログラムが安全であることを確認するためにソースコードを読むことは、ほとんどのエンドユーザーが時間を費やしたり方法を学んだりすることを望んでいるものではありません。それでも、私はオープンソースソフトウェアのセキュリティの脆弱性とバグを見つけるために、関係するコミュニティにある程度の信頼を持っています。

Ubuntuがプログラムが安全ではないと文句を言わない理由については、まあ、疑わしい決定についてユーザーにバッジを付けることはLinuxの伝統ではありません。Linuxシステムは通常、ユーザーが求めていることを実行するように設計されており、それ以外は何もしません。ユーザーは、セキュリティの問題やその他の潜在的な落とし穴を認識していると考えられており、システムを危険にさらしたり損傷したりするという警告はほとんどありません。

TelegramにPPAを使用します。Telegram をインストールするすべての方法について、この回答を参照してください。PPAはAPTの署名検証メカニズムを使用しますが、メンテナーに信頼を置いているため、依然としていくつかのリスクがあります。PPAは、更新を実行するときに更新（メンテナーがPPAを更新する場合）、パッケージマネージャーにソフトウェアを所有していることなどを知らせる便利な機能を提供します。

— ザンナ
ソース

「Linuxシステムは通常、ユーザーが要求したことを実行するように設計されており、それ以外は何もしていません。」2つの言葉：Lennart Poettering。

— ロンジョン

TelegramソースはGithubにありますが、ダウンロードしたコンパイル済みバイナリがまったく同じソースを使用して生成されたことを意味するものではありません。最終的に、ここでの実際の問題は、チェーン全体に対する信頼であり、これはOSパッケージによって適切に処理されます。

— -jjmontes

もちろん、彼はこのバイナリを捨てて、そのソースを取得して自分でコンパイルし、それを使用するか、まったく同じ方法でコンパイルする場合に持っているバイナリと比較することができます（ただし、複製することは潜在的に困難です）。

— ttbek

@RonJohn、その文に関連して（とは対照的に）彼に言及している理由を明確にするものは見つかりません。PulseAudioのあいまいな破損、または他の何かについて話していますか？

— ワイルドカード

「ダウンロードが正常に行われたことを確認します。後者の場合、ディストリビューターは、アップロードしたファイルがダウンロードしたものと同じコンテンツを持っていることを確認するために使用できる何らかのチェックサムを提供できます。」-チェックサムがダウンロードと同じチャネルを通過した場合、改ざんされている可能性があるため、これによりセキュリティが追加されることはありません。

— ジョンベントレー

ローカルにインストールされたソフトウェア

ダウンロード（または何らかの方法でローカルにコピー）され、ローカルで（ユーザーから）実行されるソフトウェアは、管理者権限を必要としないすべての操作を実行できる可能性があります。それにはあなたの（個人的な）ファイルを削除することも含まれます。

何かにログインしていて、ソフトウェアがユーザーとして実行されている場合、同じように、sudoersファイルに追加した可能性のあるスクリプトまたはコマンドについても考えます。

管理者アカウントがあり、ソフトウェアがパスワードを要求し、誤ってパスワードを入力した場合、何が起こるかわかりません。

警告？

パスワードを入力しないと、潜在的な損害は自分のアカウントに限定されます。Ubuntuは、実行するすべてのコマンドについて、故意かどうかにかかわらず警告を発したくないでしょう。

そのため、コードを完全に理解していない限り、信頼できるかどうかわからないソースからコードを実行しないでください。

— ジェイコブ・ヴライム
ソース

「潜在的な損害はあなた自身のアカウントに限定されます」-私は主な原則に反対するわけではありませんが、正直なところ、自分のアカウントにないマシンの貴重なデータは考えられません。

— MirekDługosz

@MirosławZalewskiの必須xkcd：xkcd.com/1200

— オロリン

xkcdに加えて：マルウェアは他のサーバーをスパムまたはハッキングしようとする可能性があります（これは既に実行中です）。これは他の人を悩ませるだけでなく、ブラックリストにも載せることができます。

— アロ