У меня есть элемент управления ActiveX, который в основном проверяет, установлено ли одно из программ нашей компании, а если нет, то устанавливает его.
(По причинам, по которым мой босс не хочет просто загружать exe-файл, он хочет, чтобы элемент управления ActiveX запустил setup.exe).
Теперь было бы плохо, если бы я передал из javascript URL и название программы?
Вот мой интерфейс idl:
// Primary dispatch interface for CMyAwesomeControl
[
uuid(xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)
]
dispinterface _DMyAwesomeControl
{
properties:
methods:
[id(1)] LONG IsProgramInstalled(BSTR programName);
[id(2)] LONG InstallProgram(BSTR installURL);
};
Я, конечно, беспокоюсь о том, чтобы внедрить что-либо вредоносное в эти функции, но, поскольку на стороне клиента работает javascript, это не должно иметь значения, верно?
В противном случае я подумал, что смогу извлечь URL, на котором работает activeX, и убедиться, что это всегда домен нашей компании (но, опять же, жестко его кодировать: /).
Заранее извините, если этот вопрос заставит более подкованных в безопасности людей выдернуть свои волосы: P
EDIT:
Просто добавлю, что было бы неплохо включить setup.exe + .msi в ресурсы элемента управления, но это будет PITA для обновления.
В противном случае я мог бы включить только setup.exe в ресурс, оставить MSI-файл на сервере и сохранить URL-адрес в настройке.