软件代码数字签名和 ActiveX 控件基础知识
1. 什么是 ActiveX 控件?什么是脚本?
Microsoft ActiveX 控件是由软件提供商开发的可重用的软件组件。使用 ActiveX 控件,可以很快地在网址、台式应用程序、以及开发工具中加入特殊的功能。例如, StockTicker 控件可以用来在网页上即时地加入活动信息,动画控件可用来向网页中加入动画特性。
现在,已有各种各样的商用的 ActiveX 控件,开发控件可以使用各种编程语言,如 C , C++ , Microsoft Visual Basic ,以及微软公司的 Visual Java 开发环境 Microsoft Visual J++ 。 ActiveX 控件一旦被开发出来,设计和开发人员就可以把它当作预装配组件,用于开发客户程序。以此种方式使用 ActiveX 控件,使用者无需知道这些组件是如何开发的,在很多情况下,甚至不需要自己编程,就可以完成网页或应用程序的设计。
Internet Explorer 3.0 以上浏览器都支持 ActiveX 控件,在 Mosaic 和 Netscape Navigator 中也可以使用 ActiveX plug-in for Netscape 显示 ActiveX 控件。
脚本、 ActiveX 控件和其他 Web 浏览器加载项在 Internet上广泛应用,它们可以通过提供工具栏、股票行情收报器、视频、动画内容等来增加浏览的乐趣。不过,这些程序可能出问题或者向您提供不需要的内容。在某些情况下,这些程序可被用来以您不允许的方式从计算机收集信息、破坏您的计算机上的数据、在未经您同意的情况下在您的计算机上安装软件或者允许他人远程控制您的计算机。考虑到这些风险,您应该在完全信任发行商的情况下才安装这些程序。
2. 什么是软件代码数字签名和代码签名数字证书?
软件代码数字签名是以电子方式通过信息来标记文件的方式。此时,文件将由创建者(发行商)来数字签名。有效的数字签名将告诉您关于文件的下面两项内容:发行商名称,以及文件在签名后没有被更改。任何篡改都将使签名无效。软件代码数字签名将:
* 允许您验证文件的发行商。
* 确认文件自数字签名以来没被更改过。
任何软件开发商都可以向 IE浏览器中的“受信任的根证书颁发机构”中的证书颁发机构 ( 如:WoSign等 ) 申请软件代码签名证书来签名代码。
3. 有效的数字签名意味着文件是安全的吗?
有效的数字签名只能保证软件代码的发行商的真实身份是通过第三方权威证书颁发机构验证的,但并不保证文件的内容就一定无害。您必须自己确定是否应当信任该文件的内容。
记住,数字签名不保证文件一定无害。 签名的文件可能仍然包含有害的代码,如果该文件是按照这种有害方式创建的话。这就是为什么当您开始从浏览器打开某些文件类型时,即使它具有有效的数字签名,Windows 也将询问您是否希望打开该文件的原因。
如果该文件没有有效的数字签名,则无法确保该文件确实来自它所声明的来源,或者无法确保它在发行之后未被篡改过(可能由病毒篡改)。较为安全的做法是,除非您确定该文件的创建者而且知道其内容才可以安全地打开,否则不要打开该文件。
4. 我是否应安装 ActiveX 控件?
也许可以。但是,即使 ActiveX 控件具有有效的数字签名,在计算机上安装这些 ActiveX 控件时也应该谨慎。虽然 ActiveX 控件可以提高 Web 浏览的效果,但它们也可能成为安全隐患,所以,如果没有它们网页仍可以正常工作的话,那最好还是避免使用它们。但是,有些网站或任务可能会要求它们,如果这些网站内容或任务对您来说很重要的话,您就必须决定是否要安装 ActiveX 控件。除非您绝对信任向您提供 ActiveX 控件的网站,否则,不要安装该控件。
另外,提供下载文件的网站应在您安装该文件之前告诉您该 ActiveX 控件的用途以及您需要了解的所有特殊详细信息。如果没有得到这种信息,就不应该安装该控件。
5. 为什么 Windows 会阻止安装某些文件?
为了帮助您防止计算机受到可能有害的文件的侵害, Windows 有时会阻止您安装通过 Internet 请求或接收的文件。如果该文件包含没有有效数字签名的 ActiveX 控件或 Web 浏览器加载项,那么就会发生这种情况。
IE浏览器中的默认安全设置旨在帮助用户防止计算机受到 Internet 病毒和攻击的损害。Microsoft 强烈建议您将这些安全设置保持在其默认级别或更高级别。
Windows 还将阻止来自您(或者计算机管理员或网络管理员)已经阻止的发行商的文件。而对于您信任的发行商则不提示您而直接安装,请谨慎选择确认您值得信任的软件发行商。
6. 在IE浏览器中中运行脚本和 ActiveX 控件时应当注意什么?
对于软件开发商来讲,一定要先购买微软代码签名证书来对下载的代码签名,这样才会允许下载。而对于最终用户来讲,要对允许网站在您的计算机上运行脚本或 ActiveX 控件持谨慎态度。虽然这些项目可能提高 Web 浏览的效果,但它们也可能成为安全隐患,所以,最好还是避免使用它们。但是,有些网站或任务可能会要求它们,您必须决定是否要信任 IE浏览器考虑到安全因素而阻止的 ActiveX 控件。
请使用 IE浏览器中的默认安全设置。这些设置将有助于保护您的计算机。如果您在浏览 Internet 时需要更多的保护,那么可以增加浏览器的默认安全设置。