Веские причины не разрешать браузеру запускать локальные приложения
Я знаю, что это может быть легкая задача, но, пожалуйста, продолжайте читать.
Я также знаю, что обычно не считается хорошей идеей, может быть, самой плохой, позволять браузеру работать и взаимодействовать с локальными приложениями даже в контексте интрасети.
Мы используем Citrix для домашнего офиса, и людям это очень нравится. Теперь им нужна такая же среда на работе, красивая страница, где каждое важное приложение / документ / папка красиво организовано и упорядоченно классифицировано. Эти люди не особо разбираются в технологиях; Я даже не думаю, что они могут понять разницу между удаленно доставленными приложениями и локальными.
Итак, меня спросили, возможно ли это. Конечно, это так, со старыми добрыми элементами управления ActiveX IE. И даже сделал рабочий прототип (вот где больно).
Но сейчас я сомневаюсь. Разве это не безумие допускать такие «опасные» элементы ActiveX даже в зоне «местная интрасеть»? Люди будут использовать один и тот же браузер для просмотра веб-страниц. Могу ли я полностью доверять IE? Нет ли риска, что Microsoft просто отключит эти элементы управления в будущих обновлениях / версиях? Что, если веб-сайт или какое-либо вредоносное ПО просто поместит другой сайт в список доверия? Обладая такой степенью контроля, вы могли бы также удалить все средства защиты и просто буйствовать, пока вас не повесят ИТ-отделы.
Я собираюсь доказать своему начальству, что даже если бы они увидели, что это выполнимо, это было бы очень плохо. Так что мне отчаянно нужны веские и веские аргументы, потому что "давай не будем" этого не сделает.
Конечно, если нечего бояться, это тоже будет хорошо. Но я в этом сильно сомневаюсь.
В наши дни люди редко используют ActiveX. Вам следует больше беспокоиться о встроенных Flash и Java-апплетах, они более опасны и широко используются, чем ActiveX.
Ответы 3
We use Citrix for home-office, and people really like it. Now, they would like the same kind of environment at work, a nice page where every important application/document/folder is nicely arranged and classified in an orderly fashion
Я не очень часто использовал Citrix, но какое это имеет отношение к запуску локальных приложений? Я вообще не понимаю, как соотносятся «такие люди, как Citrix» и «браузер, выполняющий локальные приложения»?
Если люди обращаются к вашему серверу Citrix из дома и хотят того же опыта в офисе, купите дешевый ПК и запустите то же самое программное обеспечение Citrix, которое они запускают на своих домашних компьютерах. Поставьте этот компьютер в угол и скажите им, чтобы они использовали его. Они будут в восторге.
Isn't it madness to allow such 'dangerous' ActiveX controls, even in the 'local intranet' zone ? People will use the same browser to surf the web, can I fully trust IE ?
Скажем так. IE имеет встроенную поддержку элементов управления AX. Он использует свои механизмы безопасности, чтобы предотвратить их запуск, если они не находятся на надежном сайте. По умолчанию ни одному сайту не доверяют.
Если вы используете IE вообще, вы отдаете себя на откуп этим механизмам безопасности. Скажете ли вы ему доверять локальной интрасети или нет, это не имеет значения и не повлияет на работу каких-либо других зон.
Старые добрые дыры в безопасности, которые требуют перезагрузки компьютера каждые несколько недель, когда MS выпускает патч, будут продолжать существовать и вызывать проблемы, независимо от того, разрешаете ли вы ActiveX в своей локальной интрасети.
Isn't there a risk that Microsoft would just disable those controls in future updates / versions ?
Начиная с XP-SP2, Microsoft все более усложняет использование элементов управления ActiveX. Я не знаю, сколько страшно выглядящих предупреждающих сообщений и диалогов «Это может вывести из строя ваш компьютер» вы должны просмотреть в наши дни, чтобы заставить их работать, но их довольно много. Со временем это будет только ухудшаться.
Microsoft идет по тонкой грани. С одной стороны, они регулярно отправляют биты ActiveX с Центром обновления Windows для удаления / отключения приложений, которые плохо себя ведут. С другой стороны, последняя версия Sharepoint 2007 (не могу говорить о более ранних версиях) позволяет открывать документы Office, щелкая ссылку в браузере, и редактировать в локальном приложении. Когда редактирование завершено, изменения передаются обратно на сервер, и веб-страница (как правило) обновляется. Это только IE, так как Firefox выдает сообщение об ошибке.
Однако я вижу логику этого. Пока Microsoft не получит все свои приложения «в облаке», есть случаи, когда необходимо преодолеть разрыв между старыми клиентскими приложениями и бизнес-средой, более ориентированной на Интернет. Хотя, вероятно, существует обходной путь, не связанный с использованием Интернета, все больше и больше информационных работников ожидают, что большая часть их работы будет выполняться в браузере. Все, что упрощает интеграцию с рабочим столом, не будет возражать никому, кроме системных администраторов.
The standard citrix homepage (or how we use it) is a simple web page with program icons. Click on it, and the application get's delivered to you. People want the same thing, at work, with their applications/folders/documents. And because I'm a web developer, and they asked me, I do it with a web page... Perhaps I should pass the whole thing over to the VB guy..
Ах ... Я знаю 2 способа сделать это:
Вы можете встроить Internet Explorer в приложение, подключиться к нему и перехватывать определенные типы URL-адресов и т. д.
Я видел это несколько лет назад - телефонное приложение встроило в себя Internet Explorer и загрузило несколько специально отформатированных веб-страниц.
На веб-странице было это:
<a href = "dial#1800-234-567">Call John Smith</a>
Обычно это неработающий URL-адрес, но когда пользователь щелкает по этой ссылке, приложение, содержащее встроенный IE, получает уведомление и приступает к выполнению своего собственного кода для набора номера из URL-адреса.
Вы можете попросить своего парня из VB написать приложение, которое в основном просто обертывает IE и имеет обработчики для выполнения приложений. Затем вы можете кодировать обычные веб-страницы со ссылками только на открытые приложения, и приложение VB запускает их. Это позволяет вам писать свои собственные элементы безопасности (например, запускать приложения только из заранее заданного списка и т. д.) В приложении VB, и поскольку их запускает VB, а не IE, никакие проблемы безопасности IE не будут затронуты.
Второй способ - с надстройками браузера.
Например, Skype поставляется с плагином Firefox, который ищет телефонные номера на веб-страницах и прикрепляет к ним специальные ссылки. Когда вы нажимаете на эти ссылки, он вызывает скайп - возможно, вы могли бы сделать что-то подобное для запуска ваших приложений Citrix.
Тогда вы будете привязаны к firefox. Писать плагины для IE много сложнее, чем для FF, я бы не пошел по этому пути, если бы его не заставили.
Функция, которую вы ищете, называется SiteLock. Вы можете ограничить запуск ваших элементов управления ActiveX только с определенной страницы или сайта.