يدفع المستخدم إلى تثبيت مكتبة فئة ActiveX / .NET من المتصفح
https://stackoverflow.com/questions/1529997
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أنا بناء مشروع مكتبة .NET فئة يصل إلى mshtml.HTMLDocument عند الاتصال (من جافا سكريبت). كل شيء يعمل موافق على جهازي منذ أن غيرت الأذونات في تكوين .NET للمواقع الموثوقة للحصول على حق الوصول الكامل.
ولكن بالنسبة للمستخدمين النهائيين أود أن يدفعهم Internet Explorer إليهم تماما، على سبيل المثال، يقول Windows Update.
لقد غنت التجميع مع اسما قويا ومع شهادة موقعة تلقائية، وأؤكد الشفرة غير المدارة SecurityPermission, ، ولكن لا يزال لا "شريط أصفر" يسأل المستخدم.
هل يعرف أي شخص كيفية إثارة هذا المطالبة؟ شكرًا
: مزيد من التفاصيل: أنا أضمض المكون <object classid="dllname.dll#namespace.classname" ><object> ويعمل، ولكن ليس لديه أذونات الأمن.
إذا قمت بتضمينها مثل <object classid="clsid:..guid.." codebase="dllname.dll#-1,-1,-1,-1"></object>, ، تأتي الأذونات لتثبيت المنبثقة، لكن الكائن يفشل في إنشاء مثيل.
UPDATE: قمت بإجراء صفيتي كوم واحد، ونفذت آمنة من البرمجة النصية، وأقدمت MSI منه ووضعها في ملف .cab. يتم تثبيته، إذا كان لدى المستخدم شهادتي في الجذور الموثوق بها، ويعمل.
ولكن لا يعمل إذا لم يكن موثوق به (لا توجد أسئلة للمستخدم، فقط "..HAS منعت ActiveX التالية من ..". يفعل ذلك يعني حقا يجب أن أضع أموالي في شهادة SSL؟
المحلول
أفترض أن سؤالك هو: يمكنك إجبار IE على مطالبة المستخدم بتثبيت شهادة (غير معروفة غير معروفة)، من أجل تمكين عنصر تحكم ActiveX الموقد والآمن بطريقة أخرى يتم تشغيلها على صفحة؟ (إذا لم يكن هذا سؤالك وتعليقه ويمكنني مراجعته.)
إجابة قصيرة: لا. ستحتاج إلى قذيفة $ $ $ توقيع الرمز من سلطة موثوق بها. (وهو، AFAIK، مختلف عن سيرتك SSL العادية)
اجابة طويلة:
من منظور أمني، يجري توقيع شهادة غير معروفة مشابهة لكونها غير موقعة، لأنه لا توجد سلطة موثوقة تخبر العميل أنه يمكن أن يثق به هذا الرمز. وأي الإعدادات الافتراضية IE ليست للسماح بتنزيل عناصر تحكم ActiveX غير الموقعة واستخدامها.
إذا تم السماح به ما تحاول القيام به، فقد يقوم مهاجم SAVVY ببساطة بإنشاء جهاز سير، فقم بتوقيعه، وبالتالي يسهل عليهم المستخدمين تشغيل رمز الهجوم الخاص بهم.
هناك بالتأكيد الحلول، ولكن كل إشراك العملاء يتخذون إجراءات لتغيير إعدادات IE الخاصة بهم، أو (في إعداد إنترانت) لديهم مسؤولين يدفعون التغييرات إلى إعدادات العميل.
إليك بعض المعلومات الإضافية حول هذا من Technet (http://technet.microsoft.com/en-us/library/cc505863.aspx.):
لم يتم تكوين Internet Explorer أن تثق في مرجع الشهادة التي يمكن لأي شخص، بما في ذلك المهاجمين، أن تنشئ شهادات كاليفورنيا الخاصة بهم وإصدارها. لذلك، لا يثق Internet Explorer جميع CAS بشكل افتراضي. بدلا من ذلك، يثق Internet Explorer حفنة فقط من CAS الجمهور. إذا تم إصدار الشهادة من خلال CA غير موثوق بها وموقع الويب على الإنترنت العام، يجب أن يكتسب مسؤول الخادم شهادة من كاليفورنيا الموثوق بها. إذا كان موقع الويب الخاص بك على إنترانت، يجب على مسؤول العميل تكوين Internet Explorer أن يثق في المصدر CA.
