Habilitando ActiveX sin firmar

3

Un tercero desea proporcionar una aplicación web que, según dicen, solo funciona si habilitamos ActiveX sin firmar (desafortunadamente, los usuarios deben usar IE). Entiendo lo que es 'firmar', así como los impactos básicos que podría tener si ejecutamos un software sin firma, como que el código del lado del cliente se ejecute en el navegador.

Mis preguntas son:

  1. ¿Es esto aceptable, antes que nada, de un estándar de seguridad (es decir, aceptar un software sin firma)?

  2. ¿El hecho de que ninguno de nuestros usuarios tenga privilegios de administrador en sus máquinas mitiga los riesgos de ejecutar software sin firma?

  3. ¿Es posible permitir el ActiveX sin firma solo para ese software, pero no para todo lo demás?

  4. ¿Significar realmente significa más seguro? Quiero decir, está firmado, ¿y qué?

Cualquier puntero a la lectura adicional también sería muy apreciado.

    
pregunta user56796 01.10.2014 - 14:17
fuente

1 respuesta

1

Tendré la oportunidad de abordar esta.

¿Es esto aceptable, antes que nada, de un estándar de seguridad (es decir, aceptar un software sin firma)? Aceptar software no firmado que sea confiable por alguna otra razón en sí mismo no es un problema. Aceptar ActiveX no se considera aceptable en absoluto. Sugeriría ejecutar el navegador que usa ActiveX dentro de su propia máquina virtual con algunas configuraciones de aislamiento bastante severas.

¿El hecho de que ninguno de nuestros usuarios tenga privilegios de administrador en sus máquinas mitiga los riesgos de ejecutar software sin firma? No realmente, cualquier cosa accesible al nivel del usuario seguirá siendo un juego justo. La falta de derechos de administrador solo significa que algunas cosas se mantendrán fuera del alcance a menos que se pueda encontrar una vía para privesc.

¿Es posible permitir el ActiveX sin firma solo para ese software, pero no para todo lo demás? Sí, puede agregar ActiveX a la lista blanca de ese dominio en particular si así lo desea. Aunque realmente sugeriría ejecutarlo dentro del entorno virtual mencionado anteriormente. ActiveX no es algo que quieras que toque tus sistemas de ninguna manera que puedas evitar.

¿Significar realmente significa más seguro? Quiero decir, está firmado, ¿y qué? Realmente no. Cualquiera puede comprar un certificado de firma de código con un mínimo de control. El más barato que pude encontrar es de $ 70 y promete ser emitido en 20 minutos.

    
respondido por el kronicd 06.10.2014 - 15:09
fuente

Lea otras preguntas en las etiquetas