J'ai Ubuntu 14.04 LTS
J'ai téléchargé Telegram d'ici . Le fichier a été compressé avec l'extension tar.xz
.
J'ai décompressé ce fichier et l'exécute Telegram
(sans extension) en utilisant un utilisateur commun (pas administrateur). L'application a démarré et a bien fonctionné.
Mais pourquoi Ubuntu ne me dit-il pas: "Ne lancez pas cette application, car elle n'est pas sûre"?
Est-il vraiment sûr d'exécuter de telles applications, qui ne nécessitent pas d'installation, qui s'exécutent facilement lorsque vous double-cliquez dessus?
Et comment s'appellent ces applications? Quel nom ont-ils? "Portable"?
Réponses:
Le fichier est un exécutable binaire. Il a déjà été compilé à partir de son code source sous une forme que votre CPU peut exécuter et vous n'avez qu'à demander qu'il soit exécuté pour qu'il s'exécute.
Le logiciel que vous téléchargez lorsque vous exécutez un gestionnaire de packages tel qu'APT en général comprend également des binaires précompilés, il n'y a donc rien de particulier à ce type de fichier. L' empaquetage des fichiers fait des choses utiles comme dire au gestionnaire de paquets où dans le système de fichiers les binaires doivent être copiés, et fournit des scripts qui s'assurent que le programme peut trouver toutes les bibliothèques partagées et autres programmes dont il dépend et l'environnement dont il a besoin est mis en place si nécessaire.
La raison pour laquelle vous pouvez considérer ce programme comme dangereux est qu'il provient d'une source inconnue, tandis que les packages des référentiels Ubuntu proviennent d'une source connue et sont protégés par un processus de vérification de signature qui garantit qu'ils n'ont pas été falsifiés sur leur chemin vers votre système.
Fondamentalement, le téléchargement et l'exécution d'exécutables à partir de sources inconnues ne sont pas sécurisés, sauf si vous faites confiance au fournisseur et que vous pouvez vérifier que le téléchargement vous est parvenu intact. À cette fin, les distributeurs peuvent fournir une sorte de somme de contrôle que vous pouvez utiliser pour vérifier que le fichier qu'ils ont téléchargé a le même contenu que celui que vous avez téléchargé.
Un aspect encourageant de Telegram en particulier est qu'il est open source:
Cela signifie que n'importe qui peut lire le code source du programme pour s'assurer qu'il ne fera rien de indésirable à votre système. En pratique, la lecture du code source pour s'assurer que le programme est sûr n'est pas quelque chose que la plupart des utilisateurs finaux veulent passer du temps à faire ou à apprendre à faire. Pourtant, j'ai une certaine confiance dans la communauté impliquée pour trouver des failles de sécurité et des bugs dans les logiciels open source.
Quant à savoir pourquoi Ubuntu ne se plaint pas que le programme est dangereux, eh bien, harceler l'utilisateur de ses décisions discutables n'est pas la tradition Linux. Un système Linux est généralement conçu pour faire ce que vous lui demandez, et rien d'autre. L'utilisateur est considéré comme responsable de la sensibilisation aux problèmes de sécurité et autres pièges potentiels et sera rarement averti qu'il est sur le point de compromettre ou d'endommager son système.
J'utilise un PPA pour Telegram voir cette réponse pour toutes les façons d'installer Telegram . Les PPA utilisent le mécanisme de vérification de signature d'APT, mais ils comportent toujours des risques car vous faites confiance au responsable. Les PPA offrent une certaine commodité, mettant à jour lorsque vous exécutez des mises à jour (si le responsable met à jour le PPA), informant le gestionnaire de packages que vous disposez du logiciel, etc.
la source
Logiciels installés localement
Les logiciels téléchargés (ou copiés localement de quelque manière que ce soit) et exécutés localement (à partir de votre utilisateur) peuvent potentiellement faire tout ce pour quoi vous n'avez pas besoin des autorisations d'administrateur. Cela comprend la suppression de vos fichiers (personnels), ce que la plupart d'entre nous trouverions dangereux.
Si vous êtes connecté à quoi que ce soit et que le logiciel fonctionne en tant qu'utilisateur, idem, mais pensez également aux scripts ou aux commandes que vous pourriez avoir ajoutés au fichier sudoers.
Si vous avez un compte administrateur et que le logiciel vous demande votre mot de passe et que vous le donnez accidentellement, tout peut arriver.
Avertissement?
Sans donner votre mot de passe, les dommages potentiels seront limités à votre propre compte. Vous ne voudriez pas qu'Ubuntu vous avertisse pour chaque commande que vous exécutez, délibérément ou non.
C'est pourquoi vous ne devez tout simplement pas exécuter du code à partir de sources que vous ne savez pas si vous pouvez leur faire confiance, sauf si vous comprenez parfaitement le code.
la source