软件代码数字签名和 ActiveX 控件基础知识

    1. 什么是 ActiveX 控件？什么是脚本？

        Microsoft ActiveX 控件是由软件提供商开发的可重用的软件组件。使用 ActiveX 控件，可以很快地在网址、台式应用程序、以及开发工具中加入特殊的功能。例如， StockTicker 控件可以用来在网页上即时地加入活动信息，动画控件可用来向网页中加入动画特性。

        现在，已有各种各样的商用的 ActiveX 控件，开发控件可以使用各种编程语言，如 C ， C++ ， Microsoft Visual Basic ，以及微软公司的 Visual Java 开发环境 Microsoft Visual J++ 。 ActiveX 控件一旦被开发出来，设计和开发人员就可以把它当作预装配组件，用于开发客户程序。以此种方式使用 ActiveX 控件，使用者无需知道这些组件是如何开发的，在很多情况下，甚至不需要自己编程，就可以完成网页或应用程序的设计。

        Internet Explorer 3.0 以上浏览器都支持 ActiveX 控件，在 Mosaic 和 Netscape Navigator 中也可以使用 ActiveX plug-in for Netscape 显示 ActiveX 控件。

        脚本、 ActiveX 控件和其他 Web 浏览器加载项在 Internet上广泛应用，它们可以通过提供工具栏、股票行情收报器、视频、动画内容等来增加浏览的乐趣。不过，这些程序可能出问题或者向您提供不需要的内容。在某些情况下，这些程序可被用来以您不允许的方式从计算机收集信息、破坏您的计算机上的数据、在未经您同意的情况下在您的计算机上安装软件或者允许他人远程控制您的计算机。考虑到这些风险，您应该在完全信任发行商的情况下才安装这些程序。

    2. 什么是软件代码数字签名和代码签名数字证书？

        软件代码数字签名是以电子方式通过信息来标记文件的方式。此时，文件将由创建者（发行商）来数字签名。有效的数字签名将告诉您关于文件的下面两项内容：发行商名称，以及文件在签名后没有被更改。任何篡改都将使签名无效。软件代码数字签名将：

        * 允许您验证文件的发行商。

        * 确认文件自数字签名以来没被更改过。

        任何软件开发商都可以向 IE浏览器中的“受信任的根证书颁发机构”中的证书颁发机构(如GeoTrust)申请软件代码签名证书来签名代码。

    3. 有效的数字签名意味着文件是安全的吗？

        有效的数字签名只能保证软件代码的发行商的真实身份是通过第三方权威证书颁发机构验证的，但并不保证文件的内容就一定无害。您必须自己确定是否应当信任该文件的内容。

        记住，数字签名不保证文件一定无害。 签名的文件可能仍然包含有害的代码，如果该文件是按照这种有害方式创建的话。这就是为什么当您开始从浏览器打开某些文件类型时，即使它具有有效的数字签名， Windows 也将询问您是否希望打开该文件的原因。

        如果该文件没有有效的数字签名，则无法确保该文件确实来自它所声明的来源，或者无法确保它在发行之后未被篡改过（可能由病毒篡改）。较为安全的做法是，除非您确定该文件的创建者而且知道其内容才可以安全地打开，否则不要打开该文件。

[1] [2] 下一页