Интернет магазин китайских планшетных компьютеров

Компьютеры - Программный интерфейс подключаемых модулей Netscape - Безопасность

Популярным заблуждением о технологии NPAPI является его большая безопасность чем у ActiveX. Однако обе технологии запускают машинный код и имеют привелегии родительского процесса. Если родительские процессы обладают одинаковыми привелениями, то вредоносный NPAPI плагин и ActiveX могут нанести сходный ущерб. Стоит отметить, что NPAPI плагины можно сделать более безопасными, простой сменой учётной записи пользователя. В общем случае имеется возможность устанавливать и запускасть плагины с пользовательскими правами, в то время как использование ActiveX требует административных привелегий. С ограниченными правами плагин не сможет нанести большого вреда.

Другим важным отличием между NPAPI и ActiveX является то, что NPAPI используются только в качестве интернет-плагинов, в то время, как ActiveX используется для широкого круга задач, включая применение в Windows приложениях. Обычный пользователь Windows имеет огромный массив установленных элементов ActiveX, некоторые из которых помечены как "безопасно для скриптов", на самом деле не являющиеся безопасными. Любой из них может быть использован для атаки на компьютер пользователя .

Другим отличием для NPAPI является то, что его реализации не загружали и не устанавливали автоматически недостающие плагины. На месте такого плагина отображалась заглушка. Если пользователь нажимал по ней, то он перенаправлялся на сайт Netscape, где мог подобрать, загрузить и установить подходящий плагина. Безусловно, такая схема неудобна для пользователя, однако она исключает один из векторов атаки, используемый вредоносным ПО.

Internet Explorer считывает из HTML информацию о месте установленного ActiveX. Если элемент ActiveX не установлен, IE самостоятельно загрузит недостающий элемент из указанного источника, затем задаст вопрос о принятии цифровой подписи и нажатии кнопки установки. Подобная схема является рабочей в доверенной инфраструктуре, однако использование методов социальной инженерии может убедить пользователя проигнорировать предупреждения, и повлечь негативные последствия. Большое количество программ-шпионов, рекламного ПО и вредоносных сайтов используют этот вектор атаки. Для уменьшения рисков, Microsoft пришлось повысить уровень безопасности по-умолчанию для элементов ActiveX и вести списки вредоносных элементов ActiveX.

Mozilla Firefox пытается предложить золотую середину. Если плагин неизвестен, то пользователь будет оповещён и направлен на сайт mozilla.org с безопасным соединением. Пользователь может разрешить Firefox загрузить и установить соответствующий плагин. Эта модель не указывает браузеру место загрузки плагина: плагины загружаются из централизованного места. Это позволяет Firefox предоставлять механизм бесшовной установки надёжных и проверенных плагинов. Данная модель неявно доверяет сервису поиска "хороших" плагинов, что требует повышенной безопасности данного сайта.