ActiveX , Microsoft'un Windows platformları için geliştirdiği bir nesne bileşeni modelidir (COM). Yazılım tabanlı olan ActiveX teknolojisi Internet Explorer eklentisi ve web sayfalarına iliştirilmiş ActiveX tabanlı uygulama olarak çalışır.
ActiveX teknolojisi geliştirilmeden önce Microsoft Windows'ta OLE (Object Linking and Embedding) ve COM (Component Object Model) olmak üzere iki standart mevcuttu. 1996 yılında sunulan ActiveX ile bu iki standart birleştirildi. (Vikipedia)
Bu tanım işin programlama kısmıyla alakalı. Biz ise bu yazımızda active-x’in ne olduğundan çok ActiveX ile neler yapılabileceğine bakacağız.
ActiveX denetimi bir kod parçasıdır, programdır. O halde ActiveX denetimleri ile bilgisayarınıza yapılabilecekleri biraz da olsa tahmin etmişsinizdir (: Birkaç örnekle başlayacak olursak; tüm donanımsal konfigürasyonunuz, o an sistemde çalışan uygulamalar, sistemin bütün parçalarına ait donanımsal adresler (Mac adresi) vs. saldırgan tarafından elde edilebilir. Şimdilik büyük bir sorun yok gibi görünüyor.. Çünkü sadece iyimser senaryodan bahsettim.. Saldırganımız bir dahaki ziyareti için port açabilir, browserinizdeki otomatik tanımlı şifrelerin yedeklerini alabilir, belgeleriniz içinde ufak bir gezinti yapabilir, Messenger konuşma log’larınızın yedeğini alabilir… Kısacası cirit atıp at koşturabilir..
Soru? Madem bu kadar tehlikeli bir şey bu ActiveX neden hak ettiği önemi görmüyor?
Çünkü activex’i kötüye kullanmak tamamen kişinin elinde ve yine aynı şekilde siz istemeden ActiveX bilgisayarınıza istediği gibi yüklenemez. Oysa ki bir virüs yada trojan size ‘Bilgisayarınız da çalışmama izin verir misiniz?’ diye sormaz. Kendilerine bir sistem açıklığı bularlar veya kullanıcı hatası-bilgisizliğini değerlendirerek sisteme sızarlar. Bu yüzden ki pratikte kullanıcı için onlar daha tehlikelidir.
Activex’i kötü niyetli kullanmak yerine, uygulama platformunu web’e taşımak için kullandığımızda gerçekten saygı değer bir gücü var. Buna kanıt olarak yıllardır tahttan inmemesini gösterebiliriz.
* Örnek olarak Windows update yaparken ActiveX denetimlerini etkinleştirmemiz gerekir. Activex sayesinde Microsoft bilgisayarımızda hangi updatelerin daha önceden yüklenmiş, hangilerinin eksik olduğunu tespit eder, otomatik kurulumunu yaptırır. Oysa hiçbir web programlama dili bu işi yapamaz.
Bilgisayarıma ActiveX denetimleri yüklemek güvenli mi?
ActiveX denetimleri, Internet üzerinde kullanılan ve bazen "eklenti" adı verilen küçük programlardır. Animasyonların oynatılmasını sağlayarak gezinme deneyiminizi geliştirebilirler veya Microsoft Update'ten güvenlik güncelleştirmelerini yükleme gibi işlemleri yapmanıza yardımcı olabilirler.
Bazı Web siteleri, siteyi görebilmeniz veya sitede belirli işlemleri yapabilmeniz için ActiveX denetimleri yüklemenizi gerektirir. Bu tür bir siteyi ziyaret ettiğinizde, Internet Explorer ActiveX denetimini yüklemek isteyip istemediğinizi sorar.
Aşağıda örnek bir ActiveX iletisi bulunmaktadır:
Şekil1 : Klasik bir activeX uyarısı
ActiveX denetimini sağlayan Web sitesi denetimin ne amaçla kullanılacağını size söylemelidir. Ayrıca, uyarıyı görmenizden önce veya sonra Web sayfasında ilgili ayrıntılı bilgileri sağlamalıdır.
Riskleri nelerdir?
Ne yazık ki, ActiveX denetimleri diğer herhangi bir yazılım programı gibidir - suistimal edilebilirler. Bilgisayarınızın doğru şekilde çalışmasını engelleyebilir, bilginiz dışında gezinme alışkanlıklarınızla ilgili bilgi veya kişisel bilgilerinizi toplayabilir veya açılır pencere reklamları gibi görmek istemediğiniz içerik görüntüleyebilirler. Ayrıca, "iyi" ActiveX denetimleri, "kötü" Web sitelerinin bunları kötü amaçla kullanmasına olanak tanıyan hatalı kod içerebilir.
Bu riskler dikkate alındığında, ActiveX denetimlerini yalnızca denetimi sunan Web sitesi ve denetimi oluşturan yayımcı hakkında bilgiye sahipseniz yüklemelisiniz. Bu bilgileri edindikten sonra, Web sitesine veya yayımcıya kişisel bilgilerinizi verecek kadar güvenip güvenmediğinize karar vermelisiniz. Bir Web sitesine güvenip güvenmeyeceğinize nasıl karar verebileceğiniz hakkında daha fazla bilgi için bkz: Kimlik sahtekarlığı yapılan Web siteleri nasıl tanınır.
Uygulayabileceğiniz iyi bir kural: Bir ActiveX denetimi bilgisayarınızı kullanmanız için gerçekten gerekli değilse, denetimi yüklemeyin.
Hiç yorum yok:
Yorum Gönder