Безопасно ли запускать приложения, которые не требуют установки?

Локально установленное программное обеспечение

Программное обеспечение, загруженное (или скопированное локально любым способом) и выполняемое локально (от вашего пользователя), потенциально может делать все, для чего вам не требуются разрешения администратора.

Если вы вошли во что-либо, и программное обеспечение работает как ваш пользователь, то есть, но также подумайте о сценариях или командах, которые вы могли бы использовать добавили в файл sudoers.

Если у вас есть учетная запись администратора, и программное обеспечение запрашивает ваш пароль, и вы случайно его получите, все может случиться.

Warning?

Без указания пароля потенциальный ущерб будет ограничен вашим собственным счетом. Вы не хотели бы, чтобы Ubuntu предупреждал вас о каждой команде, которую вы запускаете, намеренно или нет.

Вот почему вы просто не должны запускать код из источников, которые не знаете, можете ли вы им доверять, если только вы полностью понять код.

Файл является двоичным исполняемым файлом. Он уже скомпилирован из исходного кода в форму, которую может выполнить ваш процессор, и вам нужно только попросить ее выполнить ее запуск.

Программное обеспечение, которое вы загружаете при запуске диспетчера пакетов, например APT, также включает в себя предварительно скомпилированные двоичные файлы, поэтому нет ничего особенного в этом типе файла. Упаковка файлов делает полезные вещи, такие как рассказывать менеджеру пакетов, где в файловой системе необходимо скопировать двоичные файлы, и предоставляет сценарии, которые гарантируют, что программа может найти любые общие библиотеки и другие программы, от которых она зависит, и требуемая среда настройте, если необходимо.

. Причина, по которой вы можете считать эту программу небезопасной, заключается в том, что она исходит из неизвестного источника, тогда как пакеты из репозиториев Ubuntu принадлежат к известному источнику и защищены процессом проверки подписи, что гарантирует их безопасность

В принципе, загрузка и запуск исполняемых файлов из неизвестных источников небезопасна, если вы не доверяете провайдеру, и вы можете убедиться, что загрузка дошла до вас. В последнем случае дистрибьюторы могут предоставить некоторую контрольную сумму, которую вы можете использовать для проверки того, что загруженный файл имеет тот же контент, что и тот, который вы загрузили.

Одна обнадеживающая вещь о , защищенная подписью процесс проверки в частности состоит в том, что он является открытым исходным кодом:

Это означает, что любой может прочитать исходный код программы, чтобы убедиться, что он не сделает ничего нежелательного для вашей системы. На практике чтение исходного кода, чтобы убедиться, что программа в безопасности, - это не то, что большинство конечных пользователей хотят потратить на это или научиться делать. Тем не менее, я немного верю в вовлеченное сообщество, чтобы найти уязвимости и ошибки в программном обеспечении с открытым исходным кодом.

Что касается того, почему Ubuntu не жалуется на то, что программа небезопасна, ну, решения не являются традицией Linux. Система Linux обычно предназначена для того, чтобы делать то, о чем вы ее просите, и ничего больше. Пользователь считается ответственным за понимание проблем безопасности и других потенциальных ловушек и редко будет предупрежден о том, что они собираются пойти на компромисс или повредить их систему.

Я использую PPA для Telegram, чтобы увидеть этот ответ для всех способы установки Telegram. PPA используют механизм проверки подписей APT, но у них все еще есть некоторые риски, потому что вы доверяете сопровождающему. PPA действительно предоставляют некоторые удобства, обновляя при запуске обновлений (если сопровождающий обновляет PPA), что делает диспетчер пакетов осведомленным о том, что у вас есть программное обеспечение и т. Д.

Локально установленное программное обеспечение

Программное обеспечение, загруженное (или скопированное локально любым способом) и выполняемое локально (от вашего пользователя), потенциально может делать все, для чего вам не требуются разрешения администратора.

Если вы вошли во что-либо, и программное обеспечение работает как ваш пользователь, то есть, но также подумайте о сценариях или командах, которые вы могли бы использовать добавили в файл sudoers.

Если у вас есть учетная запись администратора, и программное обеспечение запрашивает ваш пароль, и вы случайно его получите, все может случиться.

Warning?

Без указания пароля потенциальный ущерб будет ограничен вашим собственным счетом. Вы не хотели бы, чтобы Ubuntu предупреждал вас о каждой команде, которую вы запускаете, намеренно или нет.

Вот почему вы просто не должны запускать код из источников, которые не знаете, можете ли вы им доверять, если только вы полностью понять код.

Файл является двоичным исполняемым файлом. Он уже скомпилирован из исходного кода в форму, которую может выполнить ваш процессор, и вам нужно только попросить ее выполнить ее запуск.

Программное обеспечение, которое вы загружаете при запуске диспетчера пакетов, например APT, также включает в себя предварительно скомпилированные двоичные файлы, поэтому нет ничего особенного в этом типе файла. Упаковка файлов делает полезные вещи, такие как рассказывать менеджеру пакетов, где в файловой системе необходимо скопировать двоичные файлы, и предоставляет сценарии, которые гарантируют, что программа может найти любые общие библиотеки и другие программы, от которых она зависит, и требуемая среда настройте, если необходимо.

. Причина, по которой вы можете считать эту программу небезопасной, заключается в том, что она исходит из неизвестного источника, тогда как пакеты из репозиториев Ubuntu принадлежат к известному источнику и защищены процессом проверки подписи, что гарантирует их безопасность

В принципе, загрузка и запуск исполняемых файлов из неизвестных источников небезопасна, если вы не доверяете провайдеру, и вы можете убедиться, что загрузка дошла до вас. В последнем случае дистрибьюторы могут предоставить некоторую контрольную сумму, которую вы можете использовать для проверки того, что загруженный файл имеет тот же контент, что и тот, который вы загрузили.

Одна обнадеживающая вещь о , защищенная подписью процесс проверки в частности состоит в том, что он является открытым исходным кодом:

Это означает, что любой может прочитать исходный код программы, чтобы убедиться, что он не сделает ничего нежелательного для вашей системы. На практике чтение исходного кода, чтобы убедиться, что программа в безопасности, - это не то, что большинство конечных пользователей хотят потратить на это или научиться делать. Тем не менее, я немного верю в вовлеченное сообщество, чтобы найти уязвимости и ошибки в программном обеспечении с открытым исходным кодом.

Что касается того, почему Ubuntu не жалуется на то, что программа небезопасна, ну, решения не являются традицией Linux. Система Linux обычно предназначена для того, чтобы делать то, о чем вы ее просите, и ничего больше. Пользователь считается ответственным за понимание проблем безопасности и других потенциальных ловушек и редко будет предупрежден о том, что они собираются пойти на компромисс или повредить их систему.

Я использую PPA для Telegram, чтобы увидеть этот ответ для всех способы установки Telegram. PPA используют механизм проверки подписей APT, но у них все еще есть некоторые риски, потому что вы доверяете сопровождающему. PPA действительно предоставляют некоторые удобства, обновляя при запуске обновлений (если сопровождающий обновляет PPA), что делает диспетчер пакетов осведомленным о том, что у вас есть программное обеспечение и т. Д.