ActiveX è un insieme di regole e protocolli che raccontano un programma come funzionare. Esso contiene informazioni specifiche su come dovrebbe agire un'applicazione e come si dovrebbe rispondere a diversi ingressi. Il programmatore che crea un'applicazione che può contenere controlli ActiveX verrà normalmente installa/incorporare controlli ActiveX all'interno dell'applicazione. Quando l'applicazione è possibile accedere o eseguire, l'utente viene informato che l'applicazione desidera eseguire i controlli ActiveX.

Utilizzo dei controlli ActiveX

I controlli ActiveX sono progettati per consentire un'applicazione all'interno di una pagina web eseguire correttamente nel browser. All'utente viene chiesto di scaricare i "controlli" per l'applicazione ActiveX, che vengono quindi salvati nel registro di sistema del computer. Quando il browser incontra una pagina con ActiveX incorporato, la scansione "CLASSID" della pagina web per determinare se il sistema ha già i controlli ActiveX per quell'applicazione installata. Se non sono presenti controlli ActiveX per la pagina web corrente, i controlli ActiveX sono attivati e scaricati. Tutti i controlli ActiveX rimangono nel registro di sistema del computer a meno che non vengono rimossi manualmente dall'utente.

Software dannoso

Codici di ActiveX sono scritti in VBScript e, a differenza di altre applicazioni come Java, possono essere progettati con intento doloso. Quando un utente rileva un'applicazione ActiveX o codice e viene richiesto di scaricare il controllo ActiveX, un programma dannoso come un virus Trojan o worm poteva essere scaricato al computer con il controllo ActiveX. I controlli ActiveX vengono memorizzati nel registro di sistema del computer, un'area vulnerabile del computer da cui è notoriamente difficile da rimuovere virus software. Software dannoso scaricato dai controlli ActiveX non attendibili può essere eseguito dal registro di sistema all'insaputa dell'utente.

Sviluppo della "Firma"

Perché software dannoso può essere scaricato facilmente quando è attivato un controllo ActiveX, Microsoft ha sviluppato il "controllo ActiveX firmato". I programmatori sono tenuti a firmare i controlli ActiveX e applicazioni ActiveX con firma elettronica, che viene utilizzato dal browser per confermare l'origine e la sicurezza dell'applicazione. Se il controllo ActiveX firmato passa protocolli di sicurezza e viene verificato dal browser, che il controllo viene scaricato automaticamente; Se il controllo ActiveX non è firmato, l'utente è richiesto per "attivare" o "disattivare" il controllo a sua discrezione.

Controlli ActiveX non firmati

Non tutti i controlli ActiveX non firmati contengono software dannoso. Tuttavia, se il browser web non è possibile verificare le credenziali, l'utente è data la possibilità di attivare il controllo a sua discrezione. Il browser tenta innanzitutto di abilitare "sicurezza dell'oggetto," verificando le credenziali e la firma elettronica e controllo dei parametri del controllo ActiveX per assicurarsi che siano stabili. L'utente è quindi data la possibilità di disabilitare o abilitare i controlli ActiveX non sicuri che non superano i controlli di sicurezza; Se l'utente disattiva il controllo ActiveX, il controllo non viene caricato a parametri e non viene creato uno script. Se l'utente esegue l'override di sicurezza oggetto e attiva il controllo ActiveX, il controllo è abilitato ai parametri, che tutti gli script di inizializzazione. Controlli ActiveX non firmati vengono ancora scaricati nel registro di sistema quando accettate dall'utente e non è necessario essere accettato ancora.