Firefoxにはセキュリティの脆弱性という点でActiveXに似たものがありますか？

LinuxはWindowsよりも安全であると人々はいつも言っています。主な理由は、一般的なシステム設計哲学と、ユーザーがrootではなくユーザーであることです。

WindowsとInternet Explorerを使用する場合の1つの主なセキュリティ上の懸念は、ActiveXのようです。数日おきに、ActiveXを使用した別の種類のエクスプロイトについて読みました。ほとんどの場合、回避策はActiveXを無効にすることです。私はそのことをよく読んでいるので、なぜActiveXをアクティブ化する必要があるのでしょうか。（1つの理由は、名前に「アクティブ」が含まれていることである可能性があります。別の理由は、Windows更新機能である可能性があります。）

UbuntuとFirefoxを使用しているので、ActiveXエクスプロイトについて読むときはいつもとても安全だと感じています。JavaScriptやAdobe Flashを使用する他の多くのセキュリティ脆弱性があることは知っていますが、私が理解している限り、これらの種類のセキュリティ脆弱性は私のユーザー権利が許す限りの損害しか与えません。もちろん、マルウェアが私のデータのすべてを破壊したい場合にはそれはあまり役に立ちません-しかし、今日のほとんどのマルウェアはボットネットドローンとして私のPCを使用したいだけなので、私のデータの破壊には興味がありません。

もう一度質問します。Ubuntuの下で実行されているFirefoxには、セキュリティの脆弱性という点で、ActiveXに似たものがありますか？

同じかもしれないもう1つの質問：Adobe FlashやJavaScriptに関連するセキュリティの脆弱性は、「簡単に」悪用されてActiveXの悪用と同じくらいの損害を与えることができますか

「簡単」とは、攻撃がシステムの別のコンポーネントを悪用してユーザー権限を昇格させる必要がないことを意味します。たとえば、Adobe Flashを含むエクスプロイトは、ユーザー権限を使用して私のPCにアクセスし、次に、既知の脆弱性を悪用しXてルートアクセスを取得します。それは「簡単」ではありません。

ubuntuの下のfirefoxには、セキュリティの脆弱性という点で、activeXに似たものがありますか？

「ActiveX」は、オブジェクトモデルとインストール方法の2つの部分で考えることができます。Firefoxには、どちらにも似たような機能があり、プラットフォーム間で互換性があり、Ubuntuなどがあります。

ActiveXのオブジェクトモデルはMicrosoft COMです。Firefoxで同等のものはXPCOMです。Webブラウジングとは何の関係もない他の多くのWindows機能とアプリケーションはMS COMを使用し、安全なWeb使用のために作成されていないCOMコントロールがWebページで利用可能であるという伝統的な問題がありました。これは多くの妥協を引き起こしました。XPCOMはシステムの他の部分と共有されていないため、Firefoxの方が適しています。IEの新しいバージョンでは、どのサイトがどのコントロールを使用することを許可されているかを軽減するためのより良いコントロールがあります。

（副次的な問題として、Firefoxの多くのアドオンはそれ自体、高水準スクリプト言語であるJavaScriptで記述されているため、一般にC [で記述されているIEの拡張機能よりも、バッファオーバーフローや文字列処理エラーからより安全です。 ++]。）

ActiveXのコントロールダウンローダー部分も、マイコンピューターゾーンの何かが好きなソフトウェアをインストールでき、攻撃的なローダースクリプトがalertActiveXを承認することに同意するまでループに閉じ込められていた昔から、少しクリーンアップされています。促す。Firefoxの同等のXPInstallはほぼ同じように動作し、デフォルトではMozillaのサイトを除くすべてのサイトに「情報バー」があり、インストール前に適切な警告/プロンプトが表示されます。

Mozillaで自分を危険にさらすことができる別の組み込みの方法があります：署名付きスクリプト。これが実際に使用されるのを見たことがなく、スクリプトが追加の権限を取得する前に別の警告ウィンドウが表示されることは確かですが、これがWebページで使用できることを心配しています。

たとえば、フラッシュを介したエクスプロイトは、私のユーザー権限で私のPCにアクセスします

はい、今日のWebエクスプロイトの大部分はプラグインで発生しています。Adobe Reader、Java（*）、QuickTimeが最も人気があり、脆弱です。IMO：それらを取り除き、FlashBlockを使用して、必要なときにのみFlashを表示します。

（*：一部の信頼できないアプレットにすべてのセキュリティを放棄する前のJavaのダイアログも少しばかりです。）

Ubuntuは疑わしいプラグインをデフォルトで提供します。特に、メディアコーデックのすべての脆弱性をWeb経由で悪用可能にするメディアプレーヤープラグインを提供します（Windows Media Playerプラグインと同様、多くのフォーマットでのみ可能です）。私はこのようなLinuxを標的としたエクスプロイトにまだ遭遇していませんが、それは実際にはあいまいさによるセキュリティにすぎません。

ActiveX自体も同じです。ActiveXに基づくWebブラウザーの侵害では、依然としてユーザーレベルのアクセスしか提供されません。Vistaより前では、誰もがすべてを管理者として常習的に実行していたため、これが全面的な応援にエスカレートしました。

その後、Xの既知の脆弱性を悪用してroot権限を取得します。それは「簡単」ではありません。

多分そうでないかもしれません。しかし、一部のマルウェアが通常のユーザーアカウントからも受けるダメージはかなり深刻だと思います。すべての個人データをコピーし、キー入力を観察し、すべてのドキュメントを削除します...

それは脆弱性の性質に依存します。時々、あなたは「幸運」であり、脆弱性は「ちょうど」一部の限定された開示を許しますが、しばしば脆弱性は任意のコード実行を許します。その時点で、ActiveXの問題と同じくらい深いところにいます。そして、それらの穴は、画像ファイル（悪意のある画像）、またはサウンド、またはその他ほとんどすべての処理に存在します。

ActiveXは、コード作成者が「これがインストールされている場合、Webページから参照しても安全です」と宣言する方法を提供し、多くのコーダーがその影響を理解せずにオンにしたため、さらに悪かったため、多くのターゲットがありました。簡単に外に出られます。しかし、画像ファイル内の奇妙な数字の扱いが悪いことと同じくらい多くの危険があります。画像ファイルの問題は、ブラウザを更新することで修正されるだけです。

これに対する唯一の防御策は、サンドボックスを使用することです。サンドボックスは、ユーザーとして実行しているプロセスが実行できることを制限します。OpenBSDは、さまざまなデーモン（特にOpenSSHの特権を分離しているため、現在Ubuntuで使用している）の特権分離でこれを普及させる先駆者です。ChromeはこれをWebブラウザーに普及させましたが、一部のプラットフォームではサンドボックスしかありません。皮肉なことに、おそらくしばらくの間、おそらくWindows上のChromeの方がLinux上のグラフィカルブラウザよりも安全でした。幸いなことに、これは変化しています。Linuxの一部のリリースでは、部分的な保護が行われていると思います。

http://www.cl.cam.ac.uk/research/security/capsicum/は、サンドボックスの機能システムを探索し、状況がどのように改善されるかを確認する場合に適しています。

AFAIKのActiveXエクスプロイトは、ユーザーの権利以外にも害を及ぼすことはありません（ご指摘のとおり、他のエクスプロイトを使用しません）。Windowsの主な問題は、ほとんどすべての人がほとんどの場合管理者として働いていたということでした...

Linuxは理論的にはいくつかの優れたセキュリティ機能を備えたWindows 7よりも安全性が低いことを述べておきます。

Linuxウイルスがない理由は、商用のLinuxゲームがほとんどない理由と同じです。プロデューサーは大衆と一緒に行き、大衆はWindowsを使用します。

したがって、最も安全な方法は、代替製品を使用することです（Firefoxが数年前にあったように、今日、Firefoxのエクスプロイトがかなり頻繁に使用されています）。

今あなたの質問に答えるために：私の知る限り、ActiveX-ExploitsはFirefoxに関係しません。

LinuxとFirefoxでのブラウジングは非常に安全だと思いますが、Operaの方がはるかに人気がないため、Operaを使用する方が安全です。

sshをハックしてPCに奇妙なものをインストールしようとするスキャナーがたくさんあるため（/ etc / ssh / sshd_configで直接ルートアクセスを無効にする）、SSHがインターネットに開かれている場合は、強力なパスワードを使用することを検討してください。

他のほとんどの攻撃は1人のユーザーに特化していると思うので、会社の秘密や敵がいなければ、コンピュータは非常に安全です。