1996年推出的Internet Explorer ActiveX控制元件對web來說是個壞主意。它們造成了嚴重的安全問題，並幫助鞏固了Internet Explorer在Windows上的主導地位，這導致了Firefox之前web的停滯。

activex控制元件是什麼？

ActiveX控制元件是一種可以嵌入到其他應用程式中的程式。Microsoft將它們用於多種用途例如，可以在Microsoft Office文件中嵌入ActiveX控制元件。然而，在這裡，我們關注的是用於web的ActiveX。從1996年的Internet Explorer 3.0開始，Microsoft允許web開發人員在其網頁中嵌入ActiveX控制元件。

那時，當您訪問某個網頁時，Internet Explorer會提示您下載並執行該網頁指定的任何ActiveX控制元件。

流行的Internet Explorer外掛（如Adobe Flash、Adobe Shockwave、RealPlayer、Apple QuickTime和Windows Media Player）是使用ActiveX控制元件實現的。

相關：什麼是ActiveX控制元件以及為什麼它們是危險的

安全從一開始就是個問題

90年代是一個不同的時代，這也給我們帶來了Office文件中危險的巨集。最初，ActiveX控制元件與計算機上的任何其他程式一樣。啟動ActiveX控制元件時，它可以完全訪問計算機上的所有內容。

換句話說，您可能會在Internet Explorer中訪問某個網頁，並看到一條提示，指出該網頁要運行遊戲或其他程式。如果您同意，ActiveX控制元件將能夠對您計算機上的所有檔案和程式執行任何操作。很容易看出這對於惡意軟體來說是多麼理想。

這與Sun的Java技術形成了鮮明的對比。當時，Java還被用於在web瀏覽器內的網頁上執行程式。然而，Java試圖透過使用沙盒來限制這些程式的功能。web瀏覽器中的Java最終有著悠久的安全缺陷歷史，但至少Java試圖限制應用程式的功能。

CNET 1997年的一篇文章描述了微軟當時的態度：

“While the Java sandbox enforces a high degree of security, it does not let users download and run exciting multimedia games or other full-featured programs on their computers,” a statement on Microsoft’s security site reads. “As a result, users may want to download code that has full access to their computers’ resources.”

文章接著解釋說，微軟包括一個名為Authenticode的“問責”系統。軟體開發人員可以選擇在ActiveX控制元件上加蓋數字簽名，但這不是強制性的。建立惡意ActiveX控制元件的開發人員如果選擇對其控制元件進行簽名，則可以更容易地找到他們。

隨著微軟最初依賴榮譽系統，很容易看出ActiveX是如何成為向internetexplorer使用者傳遞惡意軟體和間諜軟體的流行方式的。

相關報道：為什麼那麼多極客討厭IE？

activex是為舊web設計的

曾幾何時，網路技術並不十分強大。如果你想要比文字和影象更高階的東西，即使你只是想在網頁中嵌入影片，你也需要某種瀏覽器外掛。

ActiveX是為這樣一個世界而設計的：在這個世界上，您無法像今天這樣使用HTML、JavaScript和其他現代技術建立複雜、功能齊全的應用程式。

許多組織使用ActiveX控制元件為其網站新增功能。許多企業也在內部使用ActiveX控制元件，以便將程式快速傳送到企業PC。當您使用Internet Explorer訪問其中一個網頁時，它會提示您下載ActiveX控制元件，然後您就可以執行該程式了。

又好又容易太容易了。也許這會在一家公司的內部網路（intranet）上實現，在那裡一切都是可信的。但在未經控制的網路上，這引起了很多問題。

activex的安全性一團糟

從概念上講，ActiveX有兩大安全問題。首先，惡意網站可能會提示您安裝惡意ActiveX控制元件，Internet Explorer使用者很容易同意該提示並安裝它。

其次，合法ActiveX控制元件中的錯誤可能是一個問題。例如，如果您安裝了過時的adobeflash版本，惡意網站可能會利用它訪問您的整個計算機，因為像Flash這樣的ActiveX控制元件可以訪問您的整個計算機。

這真是一件大事，因為ActiveX控制元件通常沒有自動更新系統。

隨著時間的推移，微軟不斷收緊安全設定，並增加額外的保護，如“保護模式”和“增強保護模式”。例如，Internet Explorer有一個內建的過時ActiveX控制元件列表，它拒絕載入這些控制元件。Internet Explorer在下載和載入ActiveX控制元件之前提供其他警告。引入了其他安全設定，允許ActiveX控制元件建立者限制ActiveX控制元件僅在某些網站上執行，例如。

舉個例子：微軟網站曾經需要一個Akamai“Download Manager”ActiveX控制元件來下載某些檔案。這個下載管理器需要完全訪問您的整個計算機，當然，它只在Internet Explorer中執行。毫不奇怪，這個下載管理程式有自己的安全漏洞。這聽起來真的像是一個下載檔案的好解決方案，而不是僅僅依賴於你的web瀏覽器的內建檔案下載程式嗎？

activex控制元件沒有跨平臺

ActiveX是微軟的一項技術，在Windows的internetexplorer中執行得最好。有一些外掛增加了對競爭瀏覽器的支援，比如Netscape Navigator（Mozilla Firefox的前身），但它實際上完全是關於internetexplorer的。

從技術上講，ActiveX是跨平臺的。Microsoft向Internet Explorer for Mac添加了ActiveX支援。但是，與Java（跨平臺）不同，為Windows編寫的ActiveX控制元件在Mac上無法工作。開發人員必須為Mac建立ActiveX控制元件。

例如，韓國早在90年代就對訪問安全的金融和**網站所需的ActiveX控制元件進行了標準化，直到2020年才完全關閉，對ActiveX的依賴迫使人們長期使用這種古老、過時的技術。正如《*****》（Washington Post）曾經寫道的那樣，2013年，“韓國（被）用internetexplorer進行網上購物”。這篇文章描述了Mac使用者如何依賴辦公室、網咖、舊電腦或訓練營中的臺式電腦進行網上購物。

這種情況在其他地方也有類似的表現：那些將ActiveX標準化以交付內部應用程式的公司一直依賴Windows上的internetexplorer，直到他們將ActiveX拋在腦後。

現代網路如何更好

從安全性的角度來看，現代web要好得多。當您載入網頁時，您的web瀏覽器會在它自己的獨立沙盒中載入並執行該網頁。web瀏覽器不依賴ActiveX、Java、Flash或任何其他型別的第三方程式來執行部分網頁。

對於一個網站來說，如果不下載一個完全在Windows瀏覽器之外執行的EXE檔案，就不可能提供完全訪問計算機上所有內容的程式碼。

您的web瀏覽器會自動自我更新，因此不會像ActiveX那樣，在沒有安全修補程式的情況下，讓古老的程式碼停留在網頁上並保持可訪問性。

在2020年底，Flash完全被網路技術取代之前，甚至Flash內容也比ActiveX更安全。例如，googlechrome在沙盒中執行Flash。惡意的Flash applet必須使用一個缺陷來逃離adobeflash本身中的沙盒，然後使用另一個缺陷來逃離googlechrome中的外掛沙盒，才能完全訪問計算機。

當然，現代網路是跨平臺的。你可以在你喜歡的任何平臺上使用你選擇的任何瀏覽器。在Windows上使用internetexplorer並不困難，因為您使用的網站需要一個ActiveX控制元件，該控制元件只能在一個瀏覽器中的Windows上工作。

當然，您安裝的大多數瀏覽器擴充套件都可以訪問您在web瀏覽器中執行的所有操作，但至少它們不能訪問您的整個計算機。

相關：你知道瀏覽器擴充套件正在檢視你的銀行賬戶嗎？

windows 10上的activex控制元件

到2021年，現代版本的Windows10仍然支援ActiveX控制元件。您必須使用傳統的Internet Explorer 11瀏覽器，但是Microsoft Edge不支援ActiveX控制元件。

今天，一些企業和其他組織仍在使用ActiveX控制元件，因此Microsoft尚未取消對它的支援。

相關報道：adobeflash死了：這是什麼意思