Веские причины не позволять браузеру запускать локальные приложения

Question

Я знаю, что это может быть легко, но, пожалуйста, продолжайте читать.

Я также знаю, что, как правило, не рекомендуется, а может быть и хуже, запускать браузер и взаимодействовать с локальными приложениями, даже в контексте внутренней сети.

Мы используем Citrix для домашнего офиса, и людям это очень нравится. Теперь им нужна такая же среда на работе, прекрасная страница, на которой каждое важное приложение / документ / папка аккуратно упорядочено и классифицировано. Эти люди не особо разбираются в технологиях; Я даже не думаю, что они могут понять разницу между удаленными и локальными приложениями.

Итак, меня спросили, возможно ли это. Конечно, это так, с хорошими элементами управления ActiveX в IE. И я даже сделал рабочий прототип (вот где это больно).

Но теперь я сомневаюсь. Разве это не безумие - разрешать такие «опасные» элементы управления ActiveX даже в зоне « локальная интрасеть »? Люди будут использовать тот же браузер для веб-серфинга, могу ли я полностью доверять IE? Нет ли риска, что Microsoft просто отключит эти элементы управления в будущих обновлениях / версиях? Что если веб-сайт или какое-либо вредоносное ПО просто поместит другой сайт в список доверия? С таким уровнем контроля вы можете также удалить все средства защиты и просто запустить amok ', пока ИТ-отдел не повесит вас.

Я собираюсь поставить перед моим начальством тот факт, что, даже если бы они увидели, что это выполнимо, это было бы очень плохо. Так что я отчаянно нуждаюсь в хороших и веских аргументах, потому что « давайте не будем » этого не сделает.

Конечно, если нечего бояться, это тоже будет хорошо. Но я сильно сомневаюсь в этом.

Answer 1

Microsoft идет по тонкой грани. С одной стороны, они регулярно отправляют киллбиты ActiveX с помощью Центра обновления Windows, чтобы удалять / отключать приложения, которые плохо работают. С другой стороны, последняя версия Sharepoint 2007 (не относится к более ранним версиям) позволяет открывать документы Office, щелкая ссылку в браузере и редактируя их в локальном приложении. Когда редактирование завершено, изменения передаются обратно на сервер и веб-страница (как правило) обновляется. Это всего лишь IE, поскольку Firefox выдаст сообщение об ошибке.

Хотя я вижу в этом логику. Пока Microsoft не получит все свои приложения «в облаке», существуют случаи, когда необходимо ликвидировать разрыв между старыми клиентскими приложениями и более ориентированной на веб-среду бизнес-средой. Хотя существует обходной путь, не связанный с сетью, все больше и больше информационных работников ожидают, что большая часть их работы будет выполняться в браузере. Никто, кроме системных администраторов, не будет противостоять чему-либо, что облегчает интеграцию с рабочим столом.

Answer 2

Мы используем Citrix для домашнего офиса, и людям это очень нравится. Теперь им нужна такая же среда на работе, прекрасная страница, на которой каждое важное приложение / документ / папка красиво упорядочено и классифицировано упорядоченно

Я не очень часто использовал Citrix, но какое отношение это имеет к выполнению локальных приложений? Я вообще не понимаю, как соотносятся такие люди, как Citrix, и браузер, выполняющий локальные приложения?

Если люди получают доступ к вашему серверу Citrix из дома и хотят получить такой же опыт работы в офисе, купите дешевый ПК и запустите точно такое же программное обеспечение Citrix, которое они используют на своих домашних компьютерах. Поместите этот компьютер в угол и скажите им, чтобы он использовал его. Они будут в восторге.

Разве не безумие разрешать такие «опасные» элементы управления ActiveX даже в зоне «локальной интрасети»? Люди будут использовать тот же браузер для веб-серфинга, могу ли я полностью доверять IE?

Скажи это так. IE имеет встроенную поддержку элементов управления AX. Он использует свои механизмы безопасности для предотвращения их запуска, кроме как на доверенном сайте. По умолчанию ни один сайт не является доверенным.

Если вы используете IE на всех , то вы отдаете себя в зависимость от этих механизмов безопасности. Независимо от того, говорите ли вы ему, что нужно доверять локальной интрасети, это не имеет значения и не повлияет на работу других зон.

Старые старые дыры в безопасности, которые требуют перезагрузки компьютера каждые несколько недель, когда MS выпускает исправление, будут продолжать существовать и вызывать проблемы, независимо от того, разрешите ли вы ActiveX в вашей локальной интрасети.

Нет ли риска, что Microsoft просто отключит эти элементы управления в будущих обновлениях / версиях?

Начиная с XP-SP2, Microsoft усложняет использование элементов управления ActiveX. Я не знаю, сколько страшно выглядящих предупреждающих сообщений и диалогов «Это может разрушить ваш компьютер», которые вы должны нажимать в эти дни, чтобы заставить их работать, но это немало. Со временем это только ухудшится.

Answer 3

Стандартная домашняя страница citrix (или как мы ее используем) - это простая веб-страница с иконками программ. Нажмите на нее, и приложение получит вам. Люди хотят того же на работе, со своими приложениями / папками / документами. И поскольку я веб-разработчик, и они спросили меня, я делаю это с веб-страницей ... Возможно, я должен передать все это парню из VB ..

Ааа ... Я знаю 2 способа сделать это:

Вы можете встроить Internet Explorer в приложение, подключиться к нему и перехватить определенные типы URL и т. Д.

Я видел, как это было сделано несколько лет назад - приложение для телефонии встроило в себя Internet Explorer и загрузило несколько специально отформатированных веб-страниц.

На веб-странице было это:

<a href="dial#1800-234-567">Call John Smith</a>

Обычно это будет неработающий URL, но когда пользователь щелкнет по этой ссылке, приложение, содержащее встроенный IE, получит уведомление и приступит к выполнению собственного пользовательского кода для набора номера из URL.

Вы могли бы заставить вашего парня из VB написать приложение, которое в основном просто оборачивает IE, и имеет обработчики для выполнения приложений. Затем вы можете кодировать обычные веб-страницы со ссылками на просто открытые приложения, и приложение VB запустит их. Это позволяет вам записывать свои собственные средства безопасности (например, запускать только приложения из списка предустановок и т. Д.) В приложение VB, и поскольку VB запускает их, а не IE, ни одна из проблем безопасности IE не будет затронута.

Второй способ - с помощью плагинов для браузера.

Например, Skype поставляется с плагином Firefox, который ищет номера телефонов на веб-страницах и прикрепляет к ним специальные ссылки. Когда вы нажимаете на эти ссылки, это вызывает Skype - вы можете сделать что-то похожее для запуска ваших приложений Citrix.

Вы бы тогда были привязаны к Firefox. Написание плагинов для IE на намного сложнее, чем для FF, я бы не пошел по этому пути, если не был вынужден.