설치가 필요없는 앱을 실행하는 것이 안전합니까?

우분투 14.04 LTS가 있습니다

Telegram 을 여기에서 다운로드 했습니다 . 파일이 확장자로 압축되었습니다 tar.xz.

이 파일의 압축을 풀고 Telegram관리자가 아닌 일반 사용자를 사용하여 파일 을 확장명없이 실행합니다 . 응용 프로그램이 시작되고 작동했습니다.

그러나 우분투가 왜 "안전하지 않기 때문에이 앱을 실행하지 마십시오"라고 말하지 않습니까?

설치가 필요하지 않은 응용 프로그램을 두 번 클릭하면 쉽게 실행되는 것이 실제로 안전합니까?

그리고 이와 같은 앱은 무엇입니까? 그들은 어떤 이름을 가지고 있습니까? "가지고 다닐 수 있는"?

security telegram

— Ktt
소스

전보 및 보안 주제에 대해이 질문이 흥미로울 것입니다. security.stackexchange.com/questions/49782/is-telegram-secure

— Reverent Lapwing

Windows, 그러나 같은 개념에 대해 이야기하는 관련 질문 : security.stackexchange.com/q/178814/84287

— JPhi1618

리뷰어 : 저는이 질문이 주로 의견에 근거한 방법을 보는 데 어려움을 겪고 있습니다. 답변은 관련 보안 고려 사항을 설명 할 수 있으며 설명 할 수도 있습니다.

— Eliah Kagan

의무적 인 XKCD : xkcd.com/1200

— Andrea Lazzarotto

그 경고 가 우분투 에도 존재 합니까?

— user253751

답변:

파일은 이진 실행 파일입니다. 이미 소스 코드에서 CPU가 실행할 수있는 형태로 컴파일되었으며 실행을 요청하기 만하면됩니다.

일반적으로 APT와 같은 패키지 관리자를 실행할 때 다운로드하는 소프트웨어에는 사전 컴파일 된 바이너리가 포함되어 있으므로이 유형의 파일에는 특별한 것이 없습니다. 포장 파일은 파일 시스템의 바이너리에 복사해야하는 패키지 관리자를 말하는 같은 유용한 일을하고 있는지 프로그램이 그것이 필요로하는 공유 라이브러리와 그에 따라 다른 프로그램과 환경을 찾을 수 있도록 스크립트를 제공합니다 필요한 경우 설정하십시오.

이 프로그램이 안전하지 않다고 생각하는 이유는 알 수없는 출처에서 온 것이기 때문입니다. 반면 데비안 리포지토리의 패키지는 알려진 출처에서 왔으며 서명 과정 에서 시스템으로 변경되지 않도록 보장 하는 서명 확인 프로세스로 보호됩니다 .

기본적으로 공급자를 신뢰하지 않고 다운로드가 손상되지 않은 경우 알 수없는 출처에서 실행 파일을 다운로드하여 실행하는 것은 안전하지 않습니다. 후자는 배포자가 업로드 한 파일이 다운로드 한 파일과 동일한 내용인지 확인하는 데 사용할 수있는 일종의 체크섬을 제공 할 수 있습니다.

Telegram 에 대해 특히 고무적인 것은 오픈 소스라는 것입니다.

이 소프트웨어는 GPL v3 라이센스에 따라 사용 가능합니다.
소스 코드는 GitHub에서 구할 수 있습니다 .

즉, 누구나 프로그램의 소스 코드를 읽고 시스템에 바람직하지 않은 작업을 수행 할 수 없습니다. 실제로, 프로그램이 안전한지 확인하기 위해 소스 코드를 읽는 것은 대부분의 최종 사용자가 수행하거나 수행하는 방법을 배우는 데 시간을 보내는 것이 아닙니다. 그래도 오픈 소스 소프트웨어의 보안 취약점과 버그를 찾기 위해 관련 커뮤니티를 신뢰하고 있습니다.

우분투가 프로그램이 안전하지 않다고 불평하지 않는 이유에 관해서는, 의심스러운 결정에 대해 사용자에게 알리는 것이 리눅스 전통이 아닙니다. Linux 시스템은 일반적으로 사용자가 요청한 작업을 수행하도록 설계되었습니다. 사용자는 보안 문제 및 기타 잠재적 인 위험에 대해 알고있는 책임을지며 시스템을 손상 시키거나 손상하려고한다는 경고를 거의받지 않습니다.

Telegram 용 PPA를 사용하여 Telegram 을 설치하는 모든 방법은이 답변을 참조하십시오 . PPA는 APT의 서명 확인 메커니즘을 사용하지만 관리자에게 신뢰를주기 때문에 여전히 약간의 위험 이 있습니다. PPA는 업데이트를 실행할 때 (관리자가 PPA를 업데이트하는 경우) 업데이트하여 패키지 관리자에게 소프트웨어 등이 있음을 알리는 등의 편의성을 제공합니다.

— 잔나
소스

" 리눅스 시스템은 일반적으로 여러분이 요청한 것을 수행하도록 설계되었습니다. "두 단어 : Lennart Poettering.

— RonJohn

Telegram 소스는 Github에 있지만 다운로드 한 컴파일 된 바이너리가 정확히 동일한 소스를 사용하여 생성 된 것은 아닙니다. 결국, 실제 문제는 전체 체인에 대한 신뢰이며 OS 패키지에서 더 잘 처리됩니다.

— jjmontes

물론 그는이 바이너리를 버리고 그 소스를 가져 와서 스스로 컴파일하고 그것을 사용하거나 정확히 동일한 방식으로 컴파일하면 가지고있는 바이너리와 비교할 수 있습니다 (복제하기는 어렵지만).

— ttbek

@ RonJohn, 나는 그 문장과 관련하여 왜 당신이 그를 언급하고 있는지 분명히하는 것을 찾을 수 없습니다. 모호한 PulseAudio 기대 파손 또는 다른 것에 대해 이야기하고 있습니까?

— 와일드 카드

"다운로드가 손상되지 않았는지 확인하십시오. 후자는 배포자가 업로드 한 파일이 다운로드 한 파일과 동일한 내용을 가지고 있는지 확인하는 데 사용할 수있는 일종의 체크섬을 제공 할 수 있습니다." -체크섬이 다운로드와 동일한 채널로 이동 한 경우에도 변조가 발생할 수 있으므로 추가 보안이 추가되지 않습니다.

— Jon Bentley

로컬로 설치된 소프트웨어

소프트웨어 (다운로드 또는 임의의 방식으로 로컬로 복사) 및 로컬로 (사용자로부터 실행)는 관리자 권한이 필요없는 작업을 수행 할 수 있습니다. 여기에는 대부분의 개인이 유해한 (개인용) 파일 제거가 포함됩니다.

로그인 한 상태에서 소프트웨어가 사용자로 작동하지만 sudoers 파일에 추가 한 스크립트 나 명령도 생각합니다.

관리자 계정이 있고 소프트웨어에서 비밀번호를 요청하고 실수로 비밀번호를 입력 한 경우, 모든 일이 발생할 수 있습니다.

경고?

비밀번호를 입력하지 않으면 잠재적 인 피해는 귀하의 계정으로 제한됩니다. 당신은 우분투가 당신이 실행하는 각각의 모든 명령에 대해 의도적으로 또는 경고하지 않기를 원하지 않을 것입니다.

그렇기 때문에 코드를 완전히 이해하지 않으면 신뢰할 수 있는지 알 수없는 소스에서 코드를 실행해서는 안됩니다.

— 제이콥 블림
소스

"잠재적 손해는 귀하의 계정으로 제한 될 것입니다."-본인은 기본 원칙에 동의하지 않는 것이 아니라 정직하게 말하면 내 컴퓨터에없는 내 컴퓨터의 귀중한 데이터는 생각할 수 없습니다.

— Mirek Długosz

@ MirosławZalewski 의무 xkcd : xkcd.com/1200

— Olorin

xkcd 외에도 : 멀웨어가 스팸을 시도하거나 다른 서버를 해킹하려고 시도 할 수 있습니다 (이미 작동 중입니다). 이것은 다른 사람들에게 성가 시게 할뿐만 아니라 블랙리스트에 올릴 수 있습니다.

— allo