كانت عناصر التحكم ActiveX في متصفح Internet Explorer، التي تم تقديمها في عام 1996، فكرة سيئة بالنسبة للويب. فقد تسببت في مشاكل أمنية خطيرة وساعدت في ترسيخ هيمنة Internet Explorer على نظام التشغيل Windows، الأمر الذي أدى إلى ركود الويب قبل ظهور Firefox.
ما هي عناصر التحكم ActiveX؟
عناصر التحكم ActiveX هي نوع من البرامج التي يمكن تضمينها في تطبيقات أخرى. استخدمتها Microsoft لأغراض متنوعة—على سبيل المثال، يمكنك تضمين عناصر التحكم ActiveX في مستندات Microsoft Office. ومع ذلك، فإننا نركز هنا على ActiveX للويب. بدءًا من Internet Explorer 3.0 في عام 1996، سمحت Microsoft لمطوري الويب بتضمين عناصر التحكم ActiveX في صفحات الويب الخاصة بهم.
في ذلك الوقت، عندما كنت تزور صفحة ويب، كان برنامج Internet Explorer يطالبك بتنزيل وتشغيل أي عناصر تحكم ActiveX التي حددتها صفحة الويب.
تم تنفيذ المكونات الإضافية الشهيرة لبرنامج Internet Explorer مثل Adobe Flash، وAdobe Shockwave، وRealPlayer، وApple QuickTime، وWindows Media Player باستخدام عناصر تحكم ActiveX.
كان الأمن مشكلة منذ البداية
كانت فترة التسعينيات مختلفة، حيث جلبت لنا أيضًا وحدات ماكرو خطيرة في مستندات Office. في الأصل، كانت عناصر التحكم ActiveX مثل أي برنامج آخر على جهاز الكمبيوتر الخاص بك. عند تشغيل عنصر تحكم ActiveX، كان لديه إمكانية الوصول الكامل إلى كل شيء على جهاز الكمبيوتر الخاص بك.
بعبارة أخرى، قد تزور صفحة ويب في متصفح Internet Explorer وترى رسالة تفيد بأن صفحة الويب تريد تشغيل لعبة أو برنامج آخر. إذا وافقت، فسوف يكون عنصر التحكم ActiveX قادرًا على القيام بأي شيء يريده بكل الملفات والبرامج الموجودة على جهاز الكمبيوتر الخاص بك. ومن السهل أن نرى كيف كان هذا مثاليًا للبرامج الضارة.
كان هذا على النقيض التام لتقنية Java من Sun. في ذلك الوقت، كانت Java تُستخدم أيضًا لتشغيل البرامج على صفحات الويب داخل متصفحات الويب. ومع ذلك، حاولت Java الحد من قدرة هذه البرامج على القيام بذلك من خلال استخدام بيئة اختبار. في نهاية المطاف، كان لـ Java في متصفح الويب تاريخ طويل من العيوب الأمنية – ولكن على الأقل كانت Java تحاول الحد من قدرة التطبيقات على القيام بذلك.
مقالة من موقع CNET من عام 1997 يجسد موقف مايكروسوفت في ذلك الوقت:
“في حين أن بيئة الحماية الخاصة بجافا تفرض درجة عالية من الأمان، إلا أنها لا تسمح للمستخدمين بتنزيل وتشغيل ألعاب الوسائط المتعددة المثيرة أو غيرها من البرامج كاملة الميزات على أجهزة الكمبيوتر الخاصة بهم”، كما جاء في بيان على موقع أمان مايكروسوفت. “نتيجة لهذا، قد يرغب المستخدمون في تنزيل التعليمات البرمجية التي تتمتع بإمكانية الوصول الكامل إلى موارد أجهزة الكمبيوتر الخاصة بهم”.
وتستمر المقالة في شرح أن مايكروسوفت أضافت نظام “المساءلة” المسمى Authenticode. ويمكن لمطوري البرامج اختيار ختم عناصر التحكم ActiveX الخاصة بهم بتوقيع رقمي، لكن هذا ليس إلزاميًا. ويمكن تعقب المطورين الذين أنشأوا عناصر تحكم ActiveX ضارة بسهولة أكبر – إذا اختاروا توقيع عناصر التحكم الخاصة بهم.
وبما أن Microsoft اعتمدت في البداية على نظام الشرف، فمن السهل أن نرى كيف أصبح ActiveX وسيلة شائعة لتقديم البرامج الضارة وبرامج التجسس إلى مستخدمي Internet Explorer.
تم تصميم ActiveX للويب القديم
كان هناك وقت لم تكن فيه تقنيات الويب قوية جدًا. إذا كنت تريد شيئًا أكثر تقدمًا من النصوص والصور – حتى لو كنت تريد فقط تضمين مقطع فيديو في صفحة ويب – فأنت بحاجة إلى نوع من مكونات المتصفح الإضافية.
تم تصميم ActiveX لعالم لا يمكنك فيه إنشاء تطبيقات معقدة ذات ميزات كاملة باستخدام HTML وJavaScript وغيرها من التقنيات الحديثة، كما يمكنك القيام به اليوم.
لجأت العديد من المؤسسات إلى عناصر تحكم ActiveX لإضافة وظائف إلى مواقعها على الويب. كما استخدمت العديد من الشركات عناصر تحكم ActiveX داخليًا أيضًا لتقديم البرامج بسرعة إلى أجهزة الكمبيوتر الخاصة بها. وعند الوصول إلى إحدى صفحات الويب هذه باستخدام Internet Explorer، سيُطلب منك تنزيل عنصر تحكم ActiveX وستبدأ في تشغيل البرنامج.
لطيف وسهل – سهل للغاية. ربما كان ذلك ليُجدي نفعًا على الشبكة الداخلية للشركة (الإنترانت) حيث كان كل شيء جديرًا بالثقة. ولكن على شبكة الإنترنت غير الخاضعة للرقابة، تسبب هذا في الكثير من المشاكل.
كان ActiveX بمثابة فوضى أمنية
من الناحية النظرية، كان لدى ActiveX مشكلتان أمنيتان كبيرتان. أولاً، قد يطالبك موقع ويب ضار بتثبيت عنصر تحكم ActiveX ضار، وكان من السهل جدًا على مستخدمي Internet Explorer الموافقة على المطالبة وتثبيته.
ثانيًا، قد يكون وجود خلل في عنصر تحكم ActiveX شرعي مشكلة. على سبيل المثال، إذا كان لديك إصدار قديم من Adobe Flash مثبتًا، فقد يستغل موقع ويب ضار ذلك ويحصل على حق الوصول إلى جهاز الكمبيوتر بالكامل — نظرًا لأن عناصر تحكم ActiveX مثل Flash لديها حق الوصول إلى جهاز الكمبيوتر بالكامل.
كان هذا أمرًا كبيرًا حقًا، نظرًا لأن عناصر تحكم ActiveX لم تكن تحتوي غالبًا على أنظمة تحديث تلقائية.
بمرور الوقت، استمرت شركة Microsoft في تشديد إعدادات الأمان وإضافة حماية إضافية مثل “الوضع المحمي” و”الوضع المحمي المعزز”. على سبيل المثال، يحتوي Internet Explorer على ميزة مدمجة قائمة عناصر التحكم ActiveX القديمة إنه يرفض التحميل. يوفر Internet Explorer تحذيرات إضافية قبل تنزيل عناصر تحكم ActiveX وتحميلها. تم تقديم إعدادات أمان أخرى تسمح لمنشئي عناصر تحكم ActiveX بتقييد عناصر تحكم ActiveX بحيث تعمل فقط على مواقع ويب معينة، على سبيل المثال.
على سبيل المثال: كان موقع Microsoft يتطلب في السابق عنصر تحكم ActiveX من Akamai “Download Manager” لتنزيل ملفات معينة. كان هذا البرنامج يتطلب الوصول الكامل إلى جهاز الكمبيوتر بالكامل، وبالطبع كان يعمل فقط في Internet Explorer. ومن غير المستغرب أن هذا البرنامج كان نقاط الضعف الأمنية الخاصة بههل يبدو هذا حقًا بمثابة حل جيد لتنزيل الملفات بدلاً من الاعتماد فقط على أداة تنزيل الملفات المدمجة في متصفح الويب الخاص بك؟
لم تكن عناصر التحكم ActiveX متعددة الأنظمة
كانت تقنية ActiveX من إنتاج شركة Microsoft تعمل بشكل أفضل في متصفح Internet Explorer على نظام التشغيل Windows. وكانت هناك بعض المكونات الإضافية التي أضافت الدعم للمتصفحات المنافسة، مثل Netscape Navigator (سلف Mozilla Firefox)، ولكن الأمر كان في الواقع يتعلق بمتصفح Internet Explorer.
من الناحية الفنية، كان ActiveX متعدد الأنظمة. أضافت شركة Microsoft دعم ActiveX إلى Internet Explorer لنظام التشغيل Mac. ومع ذلك، على عكس Java (الذي كان متعدد الأنظمة)، فإن عناصر التحكم ActiveX المكتوبة لنظام التشغيل Windows لن تعمل على نظام التشغيل Mac. سيتعين على المطورين إنشاء عناصر تحكم ActiveX لنظام التشغيل Mac.
على سبيل المثال، قامت كوريا الجنوبية بتوحيد عنصر تحكم ActiveX المطلوب للوصول إلى المواقع المالية والحكومية الآمنة في التسعينيات. لم يتم استخدامه بالكامل إلا في عام 1990. اغلق في عام 2020، والاعتماد على ActiveX أجبر الناس على استخدام هذه التقنية القديمة التي عفا عليها الزمن لفترة طويلة. واشنطن بوست كتب أحدهم ذات مرة: “كانت كوريا الجنوبية تعتمد على متصفح Internet Explorer للتسوق عبر الإنترنت” في عام 2013. يصف المقال كيف كان على مستخدمي Mac الاعتماد على أجهزة الكمبيوتر المكتبية في مكاتبهم، أو مقاهي الإنترنت، أو أجهزة الكمبيوتر القديمة، أو Boot Camp لإجراء عمليات الشراء عبر الإنترنت.
وقد تكررت مثل هذه المواقف بطرق مماثلة في أماكن أخرى: فالشركات التي اعتمدت على ActiveX لتقديم التطبيقات الداخلية ظلت عالقة في الاعتماد على Internet Explorer على نظام التشغيل Windows حتى تركت ActiveX وراءها.
كيف أصبح الويب الحديث أفضل
من منظور الأمان، فإن شبكة الويب الحديثة أفضل بكثير. فعندما تقوم بتحميل صفحة ويب، يقوم متصفح الويب الخاص بك بتحميل هذه الصفحة وتشغيلها في بيئة معزولة خاصة به. ولا يعتمد متصفح الويب على ActiveX أو Java أو Flash أو أي نوع آخر من برامج الجهات الخارجية التي تقوم بتشغيل جزء من صفحة الويب.
لا توجد طريقة لموقع ويب لتقديم كود يتيح الوصول الكامل إلى كل شيء على جهاز الكمبيوتر الخاص بك – ليس بدون تنزيل ملف EXE الذي يعمل بالكامل خارج المتصفح على نظام التشغيل Windows، على سبيل المثال.
يقوم متصفح الويب الخاص بك بتحديث نفسه تلقائيًا، وبالتالي لا يوجد خطر من بقاء الكود القديم متاحًا على صفحات الويب دون الحصول على تصحيحات أمان – كما كان الحال مع ActiveX.
قبل أن يتم إلغاؤه تمامًا لصالح تقنيات الويب في نهاية عام 2020، كان حتى محتوى Flash أكثر أمانًا من ActiveX. على سبيل المثال، كان Google Chrome يشغل Flash في بيئة معزولة. كان يتعين على برنامج Flash الخبيث استخدام خلل في Adobe Flash نفسه للهروب من بيئة الحماية، ثم استخدام خلل آخر للهروب من بيئة الحماية الإضافية في Google Chrome للحصول على وصول كامل إلى الكمبيوتر.
وبالطبع، فإن شبكة الويب الحديثة متعددة المنصات. يمكنك استخدام أي متصفح تختاره على أي منصة تريدها. ولن تضطر إلى استخدام Internet Explorer على نظام التشغيل Windows لأن المواقع التي تستخدمها تتطلب عنصر تحكم ActiveX يعمل فقط على نظام التشغيل Windows في هذا المتصفح.
وبالتأكيد، تتمتع معظم ملحقات المتصفح التي تقوم بتثبيتها بالقدرة على الوصول إلى كل ما تفعله في متصفح الويب الخاص بك – ولكن على الأقل ليس لديها القدرة على الوصول إلى جهاز الكمبيوتر بأكمله.
عناصر التحكم ActiveX على Windows 10
اعتبارًا من عام 2021، لا تزال عناصر تحكم ActiveX مدعومة في الإصدارات الحديثة من Windows 10. ومع ذلك، يتعين عليك استخدام متصفح Internet Explorer 11 القديم، حيث لا يدعم Microsoft Edge عناصر تحكم ActiveX.
لا تزال بعض الشركات والمؤسسات الأخرى تستخدم عناصر تحكم ActiveX اليوم، لذا لم تقم Microsoft بإلغاء الدعم لها بعد.