June 25
ActiveX è un insieme di regole e protocolli che raccontano un programma come funzionare. Essa contiene informazioni specifiche su come un'applicazione dovrebbe agire e come si dovrebbe rispondere a input diversi. Il programmatore che crea un'applicazione in grado di ospitare i controlli ActiveX saranno normalmente installare / embed controlli ActiveX all'interno dell'applicazione. Quando l'applicazione si accede o eseguire, l'utente viene informato che l'applicazione chiede di eseguire i controlli ActiveX.
I controlli ActiveX sono progettati per consentire un'applicazione all'interno di una pagina web per funzionare correttamente nel browser. L'utente è invitato a scaricare i "controlli" per l'ActiveX di software / applicazioni, che vengono poi salvati nel registro del computer. Quando il browser Web incontra una pagina con ActiveX incorporato, si esegue la scansione del "CLASSID" della pagina web per determinare se il sistema già dispone di controlli ActiveX per l'applicazione installata. Se non ci sono i controlli ActiveX per la pagina Web corrente, i controlli ActiveX sono attivati e scaricati. Tutti i controlli ActiveX rimangono nel registro del computer a meno che non vengono rimossi manualmente dall'utente.
codici ActiveX sono scritti in VBScript e, a differenza di altre applicazioni come Java, possono essere progettati con intenti malevoli. Quando un utente incontra un'applicazione o un codice ActiveX e viene richiesto di scaricare il controllo ActiveX, un programma dannoso, ad esempio un virus Trojan o un worm può essere scaricato sul computer con il controllo ActiveX. I controlli ActiveX vengono memorizzati nel Registro di sistema del computer, una zona vulnerabile del computer da cui è notoriamente difficile da rimuovere software antivirus. Il software dannoso scaricato da controlli ActiveX non attendibili può essere eseguito dal Registro di sistema all'insaputa dell'utente.
Dato che il software dannoso può essere facilmente scaricato quando un controllo ActiveX è abilitato, Microsoft ha sviluppato il "controllo ActiveX firmato." I programmatori sono tenuti a firmare i controlli ActiveX e le applicazioni ActiveX con una firma elettronica, che viene utilizzato dal browser per confermare l'origine e la sicurezza dell'applicazione. Se il controllo ActiveX firmato passa protocolli di sicurezza e viene verificata dal browser, il controllo viene scaricato automaticamente; se il controllo ActiveX non è firmato, viene richiesto all'utente di "attivare" o "disattivare" il controllo a sua discrezione.
Non tutti i controlli ActiveX non firmati contengono software dannoso. Tuttavia, se il browser non è in grado di verificare le credenziali, l'utente ha la possibilità di attivare il controllo a sua discrezione. Il browser tenta prima di consentire "la sicurezza oggetto", verificando le credenziali e la firma elettronica e di controllo dei parametri del controllo ActiveX per assicurare che siano stabili. L'utente viene quindi data la possibilità di attivare o disattivare i controlli ActiveX non sicuri che non passano i controlli di sicurezza; se l'utente disattiva il controllo ActiveX, quindi il controllo non viene caricato parametri e non è sceneggiato. Se l'utente ha la precedenza alla sicurezza oggetto e consente il controllo ActiveX, il controllo è in grado di parametri, che inizializzare tutti gli script. I controlli ActiveX non firmati sono ancora scaricati sul Registro di sistema quando accettato da parte dell'utente, e non hanno bisogno di essere accettati di nuovo.