Est-il prudent d'exécuter des applications ne nécessitant aucune installation?
J'ai Ubuntu 14.04 LTS
J'ai téléchargé Telegram à partir d'ici . Le fichier a été compressé avec l'extension tar.xz.
J'ai décompressé ce fichier et exécuté le fichier Telegram(sans extension) en utilisant un utilisateur commun (pas admin). L'application a démarré et a fonctionné correctement.
Mais pourquoi Ubuntu ne me dit-il pas: "Ne lancez pas cette application, car elle n'est pas sûre"?
Est-il vraiment prudent d'exécuter de telles applications, qui ne nécessitent pas d'installation, et qui s'exécutent facilement lorsque vous double-cliquez dessus?
Et comment s'appelle cette application? Quel nom ont-ils? "Portable"?
Le fichier est un exécutable binaire. Il a déjà été compilé à partir de son code source dans une forme que votre CPU peut exécuter et il vous suffit de demander son exécution pour qu'il s'exécute.
Le logiciel que vous téléchargez lorsque vous exécutez un gestionnaire de paquets, tel que APT, inclut généralement des fichiers binaires précompilés, de sorte que ce type de fichier n'a rien de particulier. Le packaging des fichiers est utile, comme indiquer au gestionnaire de paquets où les fichiers binaires doivent être copiés, et fournit des scripts garantissant la programme peut trouver toutes les bibliothèques partagées et autres programmes dont il dépend et l’environnement requis est configuré si nécessaire.
La raison pour laquelle vous pourriez considérer ce programme comme étant non sécurisé est qu’il provient d’une source inconnue, alors que les paquets des référentiels Ubuntu proviennent d’une source connue et protégé par un processus de vérification de la signature qui garantit qu’ils n’ont pas été falsifiés. sur le chemin de votre système.
Fondamentalement, le téléchargement et l’exécution d’exécutables à partir de sources inconnues n’est pas sécurisé, sauf si vous faites confiance au fournisseur et que vous pouvez vérifier que le téléchargement vous est parvenu intact. À cette dernière fin, les distributeurs peuvent fournir une sorte de somme de contrôle que vous pouvez utiliser pour vérifier que le fichier qu'ils ont téléchargé a le même contenu que celui que vous avez téléchargé.
Une chose encourageante à propos de Telegram , en particulier, c’est que c’est une source ouverte:
Ce logiciel est disponible sous licence GPL v3.
Le code source est disponible sur GitHub .
Cela signifie que tout le monde peut lire le code source du programme pour s'assurer qu'il ne fera rien de mal à votre système. En pratique, la lecture du code source pour s’assurer que le programme est sécurisé n’est pas quelque chose que la plupart des utilisateurs finaux veulent passer du temps à faire ou à apprendre à faire. Néanmoins, j'ai une certaine confiance dans la communauté impliquée pour trouver des vulnérabilités de sécurité et des bugs dans les logiciels open source.
En ce qui concerne la raison pour laquelle Ubuntu ne se plaint pas du fait que le programme est dangereux, insulter les utilisateurs pour leurs décisions discutables n’est pas la tradition de Linux. Un système Linux est généralement conçu pour faire ce que vous lui demandez, et rien d’autre. L'utilisateur est tenu pour responsable de la prise de conscience des problèmes de sécurité et des autres pièges potentiels et sera rarement averti qu'il est sur le point de compromettre ou d'endommager son système.
J'utilise un PPA pour Telegram voir cette réponse pour tous les moyens d'installer Telegram . Les PPA utilisent le mécanisme de vérification de signature d’APT, mais ils ont toujours certains risques parce que vous faites confiance au mainteneur. Les PPA sont pratiques: mettre à jour lorsque vous exécutez des mises à jour (si le responsable met à jour le PPA), informez le gestionnaire de paquets que vous disposez du logiciel, etc.
Logiciel installé localement
Les logiciels, téléchargés (ou copiés localement de quelque manière que ce soit) et exécutés localement (à partir de votre utilisateur) peuvent potentiellement faire tout ce pour quoi vous n'avez pas besoin d'autorisations d'administrateur. Cela inclut la suppression de vos fichiers (personnels), ce que la plupart d’entre nous jugerions nuisibles.
Si vous êtes connecté à quelque chose et que le logiciel fonctionne comme votre utilisateur, idem, pensez aussi aux scripts ou aux commandes que vous avez éventuellement ajoutés au fichier sudoers.
Si vous avez un compte administrateur et que le logiciel vous demande votre mot de passe et que vous le donnez accidentellement, tout peut arriver.
Attention?
Sans donner votre mot de passe, les dommages potentiels seront limités à votre propre compte. Vous ne voudriez pas que Ubuntu vous prévienne pour chaque commande que vous exécutez, délibérément ou non.
C'est pourquoi vous ne devez simplement pas exécuter de code à partir de sources que vous ne savez pas si vous pouvez leur faire confiance, à moins de bien comprendre le code.