1996年推出的Internet Explorer ActiveX控件对web来说是个坏主意。它们造成了严重的安全问题，并帮助巩固了Internet Explorer在Windows上的主导地位，这导致了Firefox之前web的停滞。

activex控件是什么？

ActiveX控件是一种可以嵌入到其他应用程序中的程序。Microsoft将它们用于多种用途例如，可以在Microsoft Office文档中嵌入ActiveX控件。然而，在这里，我们关注的是用于web的ActiveX。从1996年的Internet Explorer 3.0开始，Microsoft允许web开发人员在其网页中嵌入ActiveX控件。

那时，当您访问某个网页时，Internet Explorer会提示您下载并运行该网页指定的任何ActiveX控件。

流行的Internet Explorer插件（如Adobe Flash、Adobe Shockwave、RealPlayer、Apple QuickTime和Windows Media Player）是使用ActiveX控件实现的。

相关：什么是ActiveX控件以及为什么它们是危险的

安全从一开始就是个问题

90年代是一个不同的时代，这也给我们带来了Office文档中危险的宏。最初，ActiveX控件与计算机上的任何其他程序一样。启动ActiveX控件时，它可以完全访问计算机上的所有内容。

换句话说，您可能会在Internet Explorer中访问某个网页，并看到一条提示，指出该网页要运行游戏或其他程序。如果您同意，ActiveX控件将能够对您计算机上的所有文件和程序执行任何操作。很容易看出这对于恶意软件来说是多么理想。

这与Sun的Java技术形成了鲜明的对比。当时，Java还被用于在web浏览器内的网页上运行程序。然而，Java试图通过使用沙盒来限制这些程序的功能。web浏览器中的Java最终有着悠久的安全缺陷历史，但至少Java试图限制应用程序的功能。

CNET 1997年的一篇文章描述了微软当时的态度：

“While the Java sandbox enforces a high degree of security, it does not let users download and run exciting multimedia games or other full-featured programs on their computers,” a statement on Microsoft’s security site reads. “As a result, users may want to download code that has full access to their computers’ resources.”

文章接着解释说，微软包括一个名为Authenticode的“问责”系统。软件开发人员可以选择在ActiveX控件上加盖数字签名，但这不是强制性的。创建恶意ActiveX控件的开发人员如果选择对其控件进行签名，则可以更容易地找到他们。

随着微软最初依赖荣誉系统，很容易看出ActiveX是如何成为向internetexplorer用户传递恶意软件和间谍软件的流行方式的。

相关报道：为什么那么多极客讨厌IE？

activex是为旧web设计的

曾几何时，网络技术并不十分强大。如果你想要比文本和图像更高级的东西，即使你只是想在网页中嵌入视频，你也需要某种浏览器插件。

ActiveX是为这样一个世界而设计的：在这个世界上，您无法像今天这样使用HTML、JavaScript和其他现代技术创建复杂、功能齐全的应用程序。

许多组织使用ActiveX控件为其网站添加功能。许多企业也在内部使用ActiveX控件，以便将程序快速传送到企业PC。当您使用Internet Explorer访问其中一个网页时，它会提示您下载ActiveX控件，然后您就可以运行该程序了。

又好又容易太容易了。也许这会在一家公司的内部网络（intranet）上实现，在那里一切都是可信的。但在未经控制的网络上，这引起了很多问题。

activex的安全性一团糟

从概念上讲，ActiveX有两大安全问题。首先，恶意网站可能会提示您安装恶意ActiveX控件，Internet Explorer用户很容易同意该提示并安装它。

其次，合法ActiveX控件中的错误可能是一个问题。例如，如果您安装了过时的adobeflash版本，恶意网站可能会利用它访问您的整个计算机，因为像Flash这样的ActiveX控件可以访问您的整个计算机。

这真是一件大事，因为ActiveX控件通常没有自动更新系统。

随着时间的推移，微软不断收紧安全设置，并增加额外的保护，如“保护模式”和“增强保护模式”。例如，Internet Explorer有一个内置的过时ActiveX控件列表，它拒绝加载这些控件。Internet Explorer在下载和加载ActiveX控件之前提供其他警告。引入了其他安全设置，允许ActiveX控件创建者限制ActiveX控件仅在某些网站上运行，例如。

举个例子：微软网站曾经需要一个Akamai“Download Manager”ActiveX控件来下载某些文件。这个下载管理器需要完全访问您的整个计算机，当然，它只在Internet Explorer中运行。毫不奇怪，这个下载管理程序有自己的安全漏洞。这听起来真的像是一个下载文件的好解决方案，而不是仅仅依赖于你的web浏览器的内置文件下载程序吗？

activex控件没有跨平台

ActiveX是微软的一项技术，在Windows的internetexplorer中运行得最好。有一些插件增加了对竞争浏览器的支持，比如Netscape Navigator（Mozilla Firefox的前身），但它实际上完全是关于internetexplorer的。

从技术上讲，ActiveX是跨平台的。Microsoft向Internet Explorer for Mac添加了ActiveX支持。但是，与Java（跨平台）不同，为Windows编写的ActiveX控件在Mac上无法工作。开发人员必须为Mac创建ActiveX控件。

例如，韩国早在90年代就对访问安全的金融和**网站所需的ActiveX控件进行了标准化，直到2020年才完全关闭，对ActiveX的依赖迫使人们长期使用这种古老、过时的技术。正如《*****》（Washington Post）曾经写道的那样，2013年，“韩国（被）用internetexplorer进行网上购物”。这篇文章描述了Mac用户如何依赖办公室、网吧、旧电脑或训练营中的台式电脑进行网上购物。

这种情况在其他地方也有类似的表现：那些将ActiveX标准化以交付内部应用程序的公司一直依赖Windows上的internetexplorer，直到他们将ActiveX抛在脑后。

现代网络如何更好

从安全性的角度来看，现代web要好得多。当您加载网页时，您的web浏览器会在它自己的独立沙盒中加载并运行该网页。web浏览器不依赖ActiveX、Java、Flash或任何其他类型的第三方程序来运行部分网页。

对于一个网站来说，如果不下载一个完全在Windows浏览器之外运行的EXE文件，就不可能提供完全访问计算机上所有内容的代码。

您的web浏览器会自动自我更新，因此不会像ActiveX那样，在没有安全修补程序的情况下，让古老的代码停留在网页上并保持可访问性。

在2020年底，Flash完全被网络技术取代之前，甚至Flash内容也比ActiveX更安全。例如，googlechrome在沙盒中运行Flash。恶意的Flash applet必须使用一个缺陷来逃离adobeflash本身中的沙盒，然后使用另一个缺陷来逃离googlechrome中的插件沙盒，才能完全访问计算机。

当然，现代网络是跨平台的。你可以在你喜欢的任何平台上使用你选择的任何浏览器。在Windows上使用internetexplorer并不困难，因为您使用的网站需要一个ActiveX控件，该控件只能在一个浏览器中的Windows上工作。

当然，您安装的大多数浏览器扩展都可以访问您在web浏览器中执行的所有操作，但至少它们不能访问您的整个计算机。

相关：你知道浏览器扩展正在查看你的银行账户吗？

windows 10上的activex控件

到2021年，现代版本的Windows10仍然支持ActiveX控件。您必须使用传统的Internet Explorer 11浏览器，但是Microsoft Edge不支持ActiveX控件。

今天，一些企业和其他组织仍在使用ActiveX控件，因此Microsoft尚未取消对它的支持。

相关报道：adobeflash死了：这是什么意思