Apakah aman menjalankan aplikasi yang tidak memerlukan instalasi?

Saya memiliki Ubuntu 14,04 LTS

Saya telah mengunduh Telegram dari sini . File dikompres dengan ekstensitar.xz .

Saya telah membongkar file ini dan menjalankan file Telegram(tanpa ekstensi) menggunakan pengguna biasa (bukan admin). Aplikasi dimulai dan berfungsi OK.

Tetapi mengapa Ubuntu tidak memberi tahu saya, "Jangan jalankan aplikasi ini, karena itu tidak aman"?

Apakah benar-benar aman untuk menjalankan aplikasi seperti itu, yang tidak memerlukan instalasi, yang berjalan dengan mudah ketika diklik ganda?

Dan apa sebutan aplikasi seperti ini? Nama apa yang mereka miliki? “Portable”?

File ini adalah biner yang dapat dieksekusi. Sudah dikompilasi dari kode sumbernya ke dalam bentuk yang dapat dieksekusi CPU Anda dan Anda hanya perlu memintanya untuk dieksekusi agar dapat dijalankan.

Perangkat lunak yang Anda unduh saat menjalankan pengelola paket seperti APT secara umum juga menyertakan binari yang telah dikompilasi, jadi tidak ada yang aneh dengan jenis file ini. The kemasan dari file melakukan hal-hal yang bermanfaat seperti memberitahu manajer paket di mana di filesystem binari perlu disalin ke, dan menyediakan script yang memastikan program ini dapat menemukan shared library dan program lain itu tergantung pada dan lingkungan diperlukan adalah atur jika perlu.

Alasan Anda mungkin menganggap program ini tidak aman adalah karena ia berasal dari sumber yang tidak dikenal, sedangkan paket dari repositori Ubuntu berasal dari sumber yang dikenal dan dilindungi oleh proses verifikasi tanda tangan yang memastikan mereka belum dirusak dalam perjalanan ke sistem Anda.

Pada dasarnya, mengunduh dan menjalankan executable dari sumber yang tidak dikenal tidak aman, kecuali jika Anda memercayai penyedia dan Anda dapat memverifikasi bahwa unduhan mencapai Anda secara utuh. Untuk yang terakhir, distributor dapat menyediakan semacam checksum yang dapat Anda gunakan untuk memeriksa apakah file yang mereka unggah memiliki konten yang sama dengan yang Anda unduh.

Satu hal yang menggembirakan tentang Telegram pada khususnya adalah bahwa itu adalah open source:

Perangkat lunak ini tersedia di bawah lisensi GPL v3.
Kode sumber tersedia di GitHub .

Ini berarti siapa pun dapat membaca kode sumber program untuk memastikan tidak akan melakukan apa pun yang tidak diinginkan ke sistem Anda. Dalam praktiknya, membaca kode sumber untuk memastikan program itu aman bukanlah sesuatu yang sebagian besar pengguna akhir ingin menghabiskan waktu melakukan atau belajar bagaimana melakukannya. Namun, saya memiliki keyakinan pada komunitas yang terlibat untuk menemukan kerentanan keamanan dan bug dalam perangkat lunak open source.

Adapun mengapa Ubuntu tidak mengeluh bahwa program ini tidak aman, well, mendesak pengguna tentang keputusan mereka yang dipertanyakan bukanlah tradisi Linux. Sistem Linux biasanya dirancang untuk melakukan apa yang Anda minta, dan tidak ada yang lain. Pengguna dianggap bertanggung jawab untuk memiliki kesadaran akan masalah keamanan dan potensi jebakan lainnya dan jarang akan diperingatkan bahwa mereka akan berkompromi atau merusak sistem mereka.

Saya menggunakan PPA untuk Telegram, lihat jawaban ini untuk semua cara menginstal Telegram . PPA menggunakan mekanisme verifikasi tanda tangan APT, tetapi mereka masih memiliki beberapa risiko karena Anda menaruh kepercayaan pada pengelola. PPA memang memberikan kenyamanan, memperbarui ketika Anda menjalankan pembaruan (jika pengelola memperbarui PPA), membuat manajer paket sadar bahwa Anda memiliki perangkat lunak dan sebagainya.

Perangkat lunak yang diinstal secara lokal

Perangkat lunak, yang diunduh (atau disalin secara lokal dengan cara apa pun) dan dijalankan secara lokal (dari pengguna Anda) berpotensi dapat melakukan apa pun yang Anda tidak memerlukan izin admin untuk. Itu termasuk menghapus file (pribadi) Anda, yang sebagian besar dari kita akan merasa berbahaya.

Jika Anda masuk ke sesuatu, dan perangkat lunak berjalan sebagai pengguna Anda, ditto, tetapi juga memikirkan skrip atau perintah yang mungkin Anda tambahkan ke file sudoers.

Jika Anda memiliki akun admin, dan perangkat lunak meminta kata sandi Anda dan Anda secara tidak sengaja memberikannya, apa pun bisa terjadi.

Peringatan?

Tanpa memberikan kata sandi Anda, potensi kerusakan akan terbatas pada akun Anda sendiri. Anda tidak ingin Ubuntu memperingatkan Anda untuk setiap dan setiap perintah yang Anda jalankan, sengaja atau tidak.

Itu sebabnya Anda seharusnya tidak menjalankan kode dari sumber yang Anda tidak tahu jika Anda bisa mempercayai mereka, kecuali jika Anda sepenuhnya memahami kode.