Веские причины, по которым браузеру запрещено запускать локальные приложения
https://stackoverflow.com/questions/31865
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я знаю, это может показаться несложным, но, пожалуйста, читайте дальше.
Я также знаю, что обычно считается не очень хорошей идеей, может быть, худшей, позволить браузеру запускаться и взаимодействовать с локальными приложениями, даже в контексте интрасети.
Мы используем Citrix для домашнего офиса, и людям это действительно нравится.Теперь они хотели бы такую же обстановку на работе, красивую страницу, где каждое важное приложение / документ / папка красиво расположены и упорядоченно классифицированы.Эти люди не особенно разбираются в технике;Мне даже в голову не приходит думать, что они могли бы понять разницу между удаленно доставляемыми приложениями и локальными.
Итак, меня спросили, возможно ли это.Конечно, это так, с помощью старых добрых элементов управления ActiveX в IE.И я даже сделал рабочий прототип (вот тут-то и болит).
Но теперь я сомневаюсь.Разве это не безумие - разрешать такие "опасные" элементы управления ActiveX даже в 'локальная интрасеть- зона?Люди будут использовать один и тот же браузер для веб-серфинга, могу ли я полностью доверять IE?Нет ли риска, что Microsoft просто отключит эти элементы управления в будущих обновлениях / версиях?Что, если веб-сайт или любая вредоносная программа просто внесут другой сайт в список доверенных?С такой степенью контроля вы могли бы с таким же успехом удалить все средства защиты и просто буйствовать, пока вас не повесит ИТ-отдел.
Я собираюсь поставить свое начальство перед фактом, что, даже если бы они увидели, что это выполнимо, это было бы очень плохо.Поэтому я отчаянно нуждаюсь в веских аргументах, потому что "давай не будем этого делать"не буду этого делать.
Конечно, если вам нечего бояться, это тоже будет неплохо.Но я сильно в этом сомневаюсь.
Решение
Мы используем Citrix для домашнего офиса, и людям это действительно нравится.Теперь они хотели бы иметь такую же среду на работе, красивую страницу, где каждое важное приложение / документ / папка красиво расположены и упорядоченно классифицированы
Я не очень часто пользовался Citrix, но какое это имеет отношение к выполнению локальных приложений?Я вообще не понимаю, как соотносятся "Людям нравится Citrix" и "браузер, выполняющий локальные приложения"?
Если люди получают доступ к вашему серверу Citrix из дома и хотят получить тот же опыт работы в офисе, то купите дешевый ПК и запустите точно такое же программное обеспечение Citrix, которое они используют на своих домашних компьютерах.Поставьте этот компьютер в угол и скажите им, чтобы они им пользовались.Они будут вне себя от радости.
Разве это не безумие - разрешать такие "опасные" элементы управления ActiveX даже в зоне "локальной интрасети"?Люди будут использовать один и тот же браузер для веб-серфинга, могу ли я полностью доверять IE?
Скажем так.IE имеет встроенную поддержку элементов управления AX.Он использует свои механизмы безопасности, чтобы предотвратить их запуск только на доверенном сайте.По умолчанию ни одному сайту вообще не доверяют.
Если вы используете IE вообще тогда вы отдаете себя на милость этих механизмов безопасности.Указываете ли вы ит-службе доверять локальной интрасети или нет, не имеет значения и не повлияет на работу каких-либо других зон.
Старые добрые бреши в системе безопасности, требующие перезагрузки компьютера каждые несколько недель, когда MS выпускает исправление, будут продолжать существовать и вызывать проблемы, независимо от того, разрешен ли ActiveX в вашей локальной интрасети.
Нет ли риска, что Microsoft просто отключит эти элементы управления в будущих обновлениях / версиях?
Начиная с XP-SP2, Microsoft все больше усложняет использование элементов управления ActiveX.Я не знаю, сколько устрашающе выглядящих предупреждающих сообщений и диалоговых окон типа "Это может привести к повреждению вашего компьютера" вам приходится просматривать в наши дни, чтобы запустить их, но их довольно много.Со временем ситуация будет только ухудшаться.
Другие советы
Microsoft идет по тонкой грани.С одной стороны, они регулярно отправляют ActiveX killbits с Центром обновления Windows для удаления / отключения приложений, которые плохо себя вели.С другой стороны, последняя версия Sharepoint 2007 (не могу говорить о более ранних версиях) позволяет открывать документы Office, щелкнув ссылку в браузере, и редактировать их в локальном приложении.Когда редактирование завершено, изменения передаются обратно на сервер, и веб-страница (как правило) обновляется.Это касается только IE, так как Firefox выдаст сообщение об ошибке.
Однако я вижу логику, стоящую за этим.Пока Microsoft не разместит все свои приложения "в облаке", в ряде случаев необходимо преодолеть разрыв между старыми клиентскими приложениями и бизнес-средой, более ориентированной на веб.Хотя, скорее всего, существует обходной путь, не связанный с Интернетом, все больше и больше информационных работников привыкли ожидать, что большая часть их работы будет выполняться в браузере.Никто, кроме системных администраторов, не будет возражать против всего, что упрощает интеграцию с рабочим столом.
Стандартная домашняя страница citrix (или то, как мы ее используем) представляет собой простую веб-страницу со значками программ.Нажмите на нее, и приложение get будет доставлено вам.Люди хотят того же самого на работе, со своими приложениями / папками / документами.И поскольку я веб-разработчик, и они попросили меня, я делаю это с помощью веб-страницы...Возможно, мне следует передать все это специалисту по VB..
Ааа...Я знаю 2 способа добиться этого:
Вы можете встроить Internet Explorer в приложение, подключиться к нему и перехватывать определенные типы URL-адресов и так далее
Я видел, как это делалось несколько лет назад - приложение для телефонии встроило в себя Internet Explorer и загрузило несколько специально отформатированных веб-страниц.
На веб-странице было написано следующее:
<a href="dial#1800-234-567">Call John Smith</a>
Обычно это был бы неработающий URL, но когда пользователь нажимал на эту ссылку, приложение, содержащее встроенный IE, получало уведомление и выполняло свой собственный пользовательский код для набора номера по URL.
Вы могли бы попросить своего специалиста по VB написать приложение, которое в основном просто оборачивает IE и имеет обработчики для выполнения приложений.Затем вы могли бы закодировать обычные веб-страницы со ссылками на просто открытые приложения, и приложение VB запустило бы их.Это позволяет вам записывать свои собственные средства безопасности (например, запускать приложения только в списке предустановленных настроек или так далее) В приложение VB, и поскольку их запускает VB, а не IE, ни одна из проблем безопасности IE не будет затронута.
Второй способ - с помощью плагинов для браузера.
Например, skype поставляется с подключаемым модулем Firefox, который ищет телефонные номера на веб-страницах и прикрепляет к ним специальные ссылки.Когда вы нажимаете на эти ссылки, он вызывает skype - возможно, вы могли бы сделать что-то подобное для запуска ваших приложений citrix.
Однако тогда вы были бы привязаны к firefox.Написание плагинов для IE - это многое сложнее, чем для FF, я бы не пошел по этому пути, если бы меня не вынудили.
