Безопасно ли запускать приложения, не требующие установки?

У меня Ubuntu 14.04 LTS

Я скачал Telegram отсюда . Файл был сжат с расширением tar.xz.

Я распаковал этот файл и запустил файл Telegram(без расширения), используя обычного пользователя (не администратора). Приложение запустилось и работало нормально.

Но почему Ubuntu не говорит мне: «Не запускайте это приложение, потому что оно небезопасно»?

Действительно ли безопасно запускать такие приложения, которые не требуют установки, которые легко запускаются при двойном щелчке?

И как называются такие приложения? Какое у них имя? «Портативный»?

Файл является двоичным исполняемым файлом. Он уже скомпилирован из своего исходного кода в форму, которую может выполнять ваш процессор, и вам нужно только попросить его выполнить для запуска.

Программное обеспечение, которое вы загружаете при запуске менеджера пакетов, такого как APT, также включает в себя предварительно скомпилированные двоичные файлы, поэтому в этом типе файлов нет ничего особенного. Упаковка файлов делает полезные вещи , как говорит менеджер пакетов , где в файловой системе двоичные файлы должны быть скопированы, а также предоставляет сценарии , которые делают , что программа может найти какие - либо общие библиотеки и другие программы , которые она зависит от и окружающей среды , это требует настроить при необходимости.

Причина, по которой вы можете считать эту программу небезопасной, заключается в том, что она поступает из неизвестного источника, тогда как пакеты из репозиториев Ubuntu взяты из известного источника и защищены процессом проверки подписи, который гарантирует, что они не были подделаны на пути к вашей системе.

По сути, загрузка и запуск исполняемых файлов из неизвестных источников небезопасны, если только вы не доверяете провайдеру и не можете убедиться, что загрузка достигла вас в целости и сохранности. В последнем случае дистрибьюторы могут предоставить какую-то контрольную сумму, которую вы можете использовать для проверки того, что загруженный ими файл имеет то же содержимое, что и загруженный вами.

В частности, одна из обнадеживающих особенностей Telegram - это открытый исходный код:

Это программное обеспечение доступно под лицензией GPL v3.
Исходный код доступен на GitHub .

Это означает, что любой может прочитать исходный код программы, чтобы убедиться, что она не сделает ничего нежелательного для вашей системы. На практике чтение исходного кода, чтобы убедиться, что программа безопасна, не то, что большинство конечных пользователей хотят тратить на то, чтобы делать или учиться делать. Тем не менее, я верю в вовлеченное сообщество, чтобы найти уязвимости и ошибки в программном обеспечении с открытым исходным кодом.

Что касается того, почему Ubuntu не жалуется, что программа небезопасна, ну, издеваться над пользователями по поводу их сомнительных решений не является традицией Linux. Система Linux обычно предназначена для того, чтобы делать то, что вы просите, и ничего больше. Пользователь считается ответственным за осведомленность о проблемах безопасности и других потенциальных подводных камнях и редко будет предупрежден о том, что он собирается скомпрометировать или повредить свою систему.

Я использую PPA для Telegram, см. Этот ответ для всех способов установки Telegram . PPA используют механизм проверки подписи APT, но они все еще имеют некоторые риски, потому что вы доверяете сопровождающему. PPA обеспечивают некоторое удобство: обновление при запуске обновлений (если сопровождающий обновляет PPA), информирование менеджера пакетов о наличии программного обеспечения и т. Д.

Локально установленное программное обеспечение

Программное обеспечение, загруженное (или скопированное локально любым способом) и запущенное локально (от вашего пользователя), потенциально может делать все, для чего вам не требуются права администратора. Это включает удаление ваших (личных) файлов, которые большинство из нас сочло бы вредными.

Если вы вошли во что-либо, и программа работает от вашего имени, то же самое, но также подумайте о скриптах или командах, которые вы, возможно, добавили в файл sudoers.

Если у вас есть учетная запись администратора, и программное обеспечение запрашивает ваш пароль, и вы случайно даете его, все может произойти.

Предупреждение?

Без указания пароля потенциальный ущерб будет ограничен вашей учетной записью. Вы не хотели бы, чтобы Ubuntu предупреждал вас о каждой команде, которую вы запускаете, умышленно или нет.

Вот почему вы просто не должны запускать код из источников, которые вы не знаете, можете ли вы доверять им, если вы не полностью понимаете код.