Abilitazione di ActiveX non firmato

3

Una terza parte desidera fornire un'app Web che dicono funziona solo se abilitiamo ActiveX non firmato (purtroppo gli utenti sono tenuti a utilizzare IE). Capisco cosa significa 'firmare', così come gli impatti di base potrebbero essere se eseguiamo software non firmato, come l'esecuzione di codice lato client sul browser.

Le mie domande sono:

  1. È accettabile, prima di tutto, da uno standard di sicurezza (ad esempio accettando un software non firmato)?

  2. Il fatto che nessuno dei nostri utenti abbia privilegi di amministratore sulle proprie macchine mitiga i rischi di eseguire software non firmato?

  3. È possibile consentire l'ActiveX non firmato solo per quel software, ma non per tutto il resto?

  4. "firmare" significa davvero più sicuro? Voglio dire, è firmato, quindi?

Anche eventuali indicazioni su ulteriori letture sarebbero molto apprezzate.

    
posta user56796 01.10.2014 - 14:17
fonte

1 risposta

1

Avrò una possibilità per affrontare questo.

È accettabile, prima di tutto, da uno standard di sicurezza (ad esempio accettando un software non firmato)? L'accettazione di software non firmato che è affidabile per qualche altra ragione in sé non è un problema. L'accettazione di ActiveX non è considerata accettabile. Suggerirei di eseguire il browser che utilizza ActiveX all'interno della propria macchina virtuale con alcune impostazioni di isolamento piuttosto rigide.

Il fatto che nessuno dei nostri utenti abbia privilegi di amministratore sulle proprie macchine mitiga i rischi di eseguire software non firmato? Non proprio, qualsiasi cosa accessibile a livello utente sarà ancora un gioco equo. La mancanza di diritti di amministratore significa solo che alcune cose rimarranno fuori dalla portata a meno che non sia possibile trovare una via per privesc.

È possibile consentire l'ActiveX non firmato solo per quel software, ma non per tutto il resto? Sì, puoi autorizzare ActiveX per quel particolare dominio, se lo desideri. Vorrei davvero suggerire di eseguirlo all'interno del già citato ambiente virtuale. ActiveX non è qualcosa che desideri toccare i tuoi sistemi in alcun modo che puoi evitare.

"firmare" significa davvero più sicuro? Voglio dire, è firmato, quindi? Non proprio. Chiunque può acquistare un certificato di firma del codice con controllo minimo. Il più economico che ho trovato è di $ 70 e promette di essere rilasciato entro 20 minuti.

    
risposta data 06.10.2014 - 15:09
fonte

Leggi altre domande sui tag