Buenas razones para no permitir que el navegador inicie aplicaciones locales

Question

Sé que esto puede ser una obviedad, pero sigue leyendo.

También sé que generalmente no se considera una buena idea, tal vez la peor, permitir que un navegador se ejecute e interactúe con aplicaciones locales, incluso en un contexto de intranet.

Usamos Citrix para la oficina en casa y a la gente le gusta mucho.Ahora, les gustaría tener el mismo tipo de entorno en el trabajo, una página bonita donde cada aplicación/documento/carpeta importante esté bien organizada y clasificada de forma ordenada.Estas personas no son particularmente conocedoras de la tecnología;Ni siquiera considero que puedan entender la diferencia entre aplicaciones entregadas remotamente y aplicaciones locales.

Entonces me preguntaron si es posible.Por supuesto que lo es, con los buenos controles ActiveX de IE.E incluso hice un prototipo funcional (ahí es donde duele).

Pero ahora lo dudo.¿No es una locura permitir controles ActiveX tan "peligrosos", incluso en el "intranet local' zona?La gente utilizará el mismo navegador para navegar por la web, ¿puedo confiar plenamente en IE?¿No existe el riesgo de que Microsoft simplemente deshabilite esos controles en futuras actualizaciones/versiones?¿Qué pasa si un sitio web, o cualquier tipo de malware, simplemente incluye otro sitio en la lista de confianza?Con ese grado de control, también podrías desinstalar todas las protecciones y simplemente volverte loco hasta que el departamento de TI te cuelgue.

Estoy a punto de confrontar a mis superiores con el hecho de que, incluso si vieran que es factible, sería algo muy malo.Por eso necesito desesperadamente argumentos buenos y sólidos, porque "no lo hagamos"No lo haré.

Por supuesto, si no hay nada que temer, también será bueno.Pero lo dudo mucho.

Answer 1

Usamos Citrix para la oficina en casa y a la gente le gusta mucho.Ahora, les gustaría tener el mismo tipo de entorno en el trabajo, una página bonita donde cada aplicación/documento/carpeta importante esté bien organizada y clasificada de forma ordenada.

No he usado Citrix muchas veces, pero ¿qué tiene que ver con la ejecución de aplicaciones locales?No veo cómo se relacionan "Gente como Citrix" y "navegador que ejecuta aplicaciones locales".

Si las personas acceden a su servidor Citrix desde casa y quieren la misma experiencia en la oficina, compre una PC barata y ejecute exactamente el mismo software Citrix que ejecutan en las computadoras de sus hogares.Pon esta computadora en la esquina y diles que la usen.Estarán muy contentos.

¿No es una locura permitir controles ActiveX tan "peligrosos" incluso en la zona de la "intranet local"?La gente utilizará el mismo navegador para navegar por la web, ¿puedo confiar plenamente en IE?

Ponlo de esta manera.IE tiene soporte integrado para controles AX.Utiliza sus mecanismos de seguridad para evitar que se ejecuten a menos que se encuentren en un sitio confiable.De forma predeterminada, no se confía en ningún sitio.

Si usas IE en absoluto entonces te estás poniendo a merced de estos mecanismos de seguridad.Si le dice o no que confíe en la intranet local no viene al caso y no afectará el funcionamiento de ninguna otra zona.

Los viejos agujeros de seguridad que requieren que reinicie su computadora cada pocas semanas cuando MS publica un parche seguirán existiendo y causarán problemas, independientemente de si permite ActiveX en su intranet local.

¿No existe el riesgo de que Microsoft simplemente deshabilite esos controles en futuras actualizaciones/versiones?

Desde XP-SP2, Microsoft ha dificultado cada vez más el uso de controles ActiveX.No sé cuántos mensajes de advertencia de aspecto aterrador y cuadros de diálogo "Esto podría destruir tu computadora" tienes que hacer clic en estos días para que se ejecuten, pero son bastantes.Esto sólo empeorará con el tiempo.

Answer 2

Microsoft camina sobre una delgada línea.Por un lado, envían regularmente killbits ActiveX con Windows Update para eliminar/deshabilitar aplicaciones que se han portado mal.Por otro lado, la última versión de Sharepoint 2007 (no puedo hablar de versiones anteriores) permite abrir documentos de Office haciendo clic en un enlace en el navegador y editarlos en la aplicación local.Cuando finaliza la edición, los cambios se transmiten de nuevo al servidor y la página web (generalmente) se actualiza.Esto es sólo cosa de IE, ya que Firefox mostrará un mensaje de error.

Sin embargo, puedo ver la lógica detrás de esto.Hasta que Microsoft tenga todas sus aplicaciones 'en la nube', hay casos que necesitan cerrar la brecha entre las antiguas aplicaciones del lado del cliente y un entorno empresarial más centrado en la web.Si bien es probable que exista una solución alternativa que no sea la web, cada vez más trabajadores de la información esperan que una gran parte de su trabajo se realice en un navegador.Nadie, excepto los administradores de sistemas, se opondrá a cualquier cosa que facilite la integración con el escritorio.

Answer 3

La página de inicio estándar de citrix (o cómo la usamos) es una página web simple con íconos de programas.Haga clic en él y se le entregará la solicitud.La gente quiere lo mismo, en el trabajo, con sus aplicaciones/carpetas/documentos.Y como soy desarrollador web, y me pidieron, lo hago con una página web...Quizás debería pasarle todo el asunto al chico de VB.

Ah...Conozco 2 formas de lograr esto:

Puede incrustar Internet Explorer en una aplicación, conectarse a ella e interceptar ciertos tipos de URL, etc.

Vi esto hace unos años: una aplicación de telefonía incorporó Internet Explorer en sí misma y cargó algunas páginas web con formato especial.

En la pagina web habia esto:

<a href="dial#1800-234-567">Call John Smith</a>

Normalmente, esta sería una URL rota, pero cuando el usuario hizo clic en este enlace, la aplicación que contiene el IE integrado recibió una notificación y procedió a ejecutar su propio código personalizado para marcar el número de la URL.

Podrías pedirle a tu chico de VB que escriba una aplicación que básicamente simplemente envuelva IE y tenga controladores para ejecutar aplicaciones.Luego podría codificar páginas web normales con enlaces para simplemente abrir aplicaciones, y la aplicación VB las iniciaría.Esto le permite escribir sus propios elementos de seguridad (por ejemplo, iniciar solo aplicaciones en una lista preestablecida, etc.) en la aplicación VB, y debido a que VB las inicia, no IE, ninguno de los problemas de seguridad de IE estará involucrado.

La segunda forma es con complementos del navegador.

Por ejemplo, Skype viene con un complemento de Firefox, que busca números de teléfono en páginas web y les adjunta enlaces especiales.Cuando hace clic en estos enlaces, se invoca Skype; es posible que pueda hacer algo similar para iniciar sus aplicaciones de Citrix.

Sin embargo, entonces estarías atado a Firefox.Escribir complementos para IE es mucho más difícil que para FF, no seguiría ese camino a menos que me obliguen a hacerlo.