De bonnes raisons de ne pas laisser le navigateur lancer des applications locales

Question

Je sais que cela peut être une évidence, mais continuez à lire.

Je sais aussi que ce n'est généralement pas considéré comme une bonne idée, peut-être la pire, de laisser un navigateur fonctionner et interagir avec des applications locales, même dans un contexte intranet.

Nous utilisons Citrix pour le bureau à domicile et les gens l'apprécient vraiment.Désormais, ils aimeraient le même type d'environnement de travail, une belle page où chaque application/document/dossier important est bien organisé et classé de manière ordonnée.Ces gens ne sont pas particulièrement doués en technologie ;Je n'envisage même pas de penser qu'ils pourraient comprendre la différence entre les applications livrées à distance et les applications locales.

Alors, on m'a demandé si c'était possible.Bien sûr, c'est le cas, avec les bons vieux contrôles ActiveX d'IE.Et j'ai même réalisé un prototype fonctionnel (c'est là que ça fait mal).

Mais maintenant, je doute.N'est-ce pas de la folie d'autoriser des contrôles ActiveX aussi « dangereux », même dans le 'intranet local'zone ?Les gens utiliseront le même navigateur pour surfer sur le Web, puis-je entièrement faire confiance à IE ?N'y a-t-il pas un risque que Microsoft désactive simplement ces contrôles dans les futures mises à jour/versions ?Que se passe-t-il si un site Web, ou tout autre type de malware, met simplement un autre site sur la liste de confiance ?Avec ce degré de contrôle, vous pourriez tout aussi bien désinstaller toutes les protections et vous déchaîner jusqu'à ce que le service informatique vous pende.

Je suis sur le point de confronter mes supérieurs au fait que, même s'ils voyaient que c'est faisable, ce serait une très mauvaise chose.J'ai donc désespérément besoin d'arguments bons et solides, car "ne le faisons pas"Je ne le ferai pas.

Bien sûr, s’il n’y a rien à craindre, ce sera bien aussi.Mais j'en doute fortement.

Answer 1

Nous utilisons Citrix pour le bureau à domicile et les gens l'apprécient vraiment.Désormais, ils aimeraient le même type d'environnement de travail, une belle page où chaque application/document/dossier important est bien organisé et classé de manière ordonnée.

Je n'ai pas utilisé Citrix très souvent, mais qu'est-ce que cela a à voir avec l'exécution d'applications locales ?Je ne vois pas du tout le rapport entre « Les gens comme Citrix » et « Le navigateur exécutant des applications locales » ?

Si les utilisateurs accèdent à votre serveur Citrix depuis leur domicile et souhaitent vivre la même expérience au bureau, achetez un PC bon marché et exécutez exactement le même logiciel Citrix que celui qu'ils exécutent sur leur ordinateur personnel.Mettez cet ordinateur dans un coin et dites-leur d'aller l'utiliser.Ils seront ravis.

N'est-ce pas une folie d'autoriser des contrôles ActiveX aussi « dangereux », même dans la zone « intranet local » ?Les gens utiliseront le même navigateur pour surfer sur le Web, puis-je entièrement faire confiance à IE ?

Mets le comme ça.IE prend en charge les contrôles AX.Il utilise ses mécanismes de sécurité pour les empêcher de s'exécuter sauf sur un site de confiance.Par défaut, aucun site n’est fiable.

Si vous utilisez IE du tout alors vous vous mettez à la merci de ces mécanismes de sécurité.Que vous lui disiez ou non de faire confiance à l'intranet local n'a pas d'importance et n'affectera pas le fonctionnement des autres zones.

Les bonnes vieilles failles de sécurité qui vous obligent à redémarrer votre ordinateur toutes les quelques semaines lorsque MS publie un correctif continueront d'exister et de causer des problèmes, que vous autorisiez ou non ActiveX dans votre intranet local.

N'y a-t-il pas un risque que Microsoft désactive simplement ces contrôles dans les futures mises à jour/versions ?

Depuis XP-SP2, Microsoft rend de plus en plus difficile l'utilisation des contrôles ActiveX.Je ne sais pas combien de messages d'avertissement effrayants et de boîtes de dialogue « Cela pourrait détruire votre ordinateur » sur lesquels vous devez cliquer ces jours-ci pour les faire fonctionner, mais il y en a un bon nombre.Cela ne fera qu'empirer avec le temps.

Answer 2

Microsoft marche sur une ligne fine.D'une part, ils envoient régulièrement des killbits ActiveX avec Windows Update pour supprimer/désactiver les applications qui se comportent mal.D'un autre côté, la dernière version de Sharepoint 2007 (je ne peux pas parler des versions antérieures) permet d'ouvrir les documents Office en cliquant sur un lien dans le navigateur et de les modifier dans l'application locale.Une fois la modification terminée, les modifications sont renvoyées au serveur et la page Web (généralement) est actualisée.Ceci est uniquement une affaire d'IE, car Firefox affichera un message d'erreur.

Cependant, je peux voir la logique derrière cela.Jusqu'à ce que Microsoft mette toutes ses applications « dans le cloud », il faudra dans certains cas combler le fossé entre les anciennes applications côté client et un environnement commercial plus centré sur le Web.Bien qu'il existe probablement une solution de contournement non Web, de plus en plus de travailleurs de l'information s'attendent à ce qu'une grande partie de leur travail soit effectuée dans un navigateur.Tout ce qui facilite l’intégration avec le bureau ne rencontrera d’opposition que de la part des administrateurs système.

Answer 3

La page d'accueil standard de Citrix (ou la manière dont nous l'utilisons) est une simple page Web avec des icônes de programme.Cliquez dessus et l'application vous sera livrée.Les gens veulent la même chose, au travail, avec leurs applications/dossiers/documents.Et parce que je suis développeur web, et qu'ils me l'ont demandé, je le fais avec une page web...Peut-être que je devrais confier le tout au gars de VB.

Ahh...Je connais 2 façons d'y parvenir:

Vous pouvez intégrer Internet Explorer dans une application, vous y connecter et intercepter certains types d'URL, etc.

J'ai vu cela il y a quelques années - une application de téléphonie intégrant Internet Explorer et chargeant des pages Web spécialement formatées.

Sur la page Web, il y avait ceci :

<a href="dial#1800-234-567">Call John Smith</a>

Normalement, il s'agirait d'une URL cassée, mais lorsque l'utilisateur cliquait sur ce lien, l'application contenant l'IE intégré était avertie et exécutait son propre code personnalisé pour composer le numéro à partir de l'URL.

Vous pouvez demander à votre gars de VB d'écrire une application qui enveloppe simplement IE et dispose de gestionnaires pour exécuter des applications.Vous pouvez ensuite coder des pages Web normales avec des liens vers des applications simplement ouvertes, et l'application VB les lancera.Cela vous permet d'écrire vos propres éléments de sécurité (par exemple, lancer uniquement des applications dans une liste prédéfinie, etc.) dans l'application VB, et comme c'est VB qui les lance, et non IE, aucun des problèmes de sécurité d'IE ne sera impliqué.

La deuxième méthode consiste à utiliser les plug-ins du navigateur.

Par exemple, Skype est livré avec un plug-in Firefox, qui recherche les numéros de téléphone dans les pages Web et y attache des liens spéciaux.Lorsque vous cliquez sur ces liens, cela appelle Skype - vous pourriez éventuellement faire quelque chose de similaire pour lancer vos applications Citrix.

Vous seriez alors lié à Firefox.Écrire des plugins pour IE est beaucoup plus difficile que pour FF, je ne m'engagerais pas dans cette voie à moins d'y être obligé.