Un tercero desea proporcionar una aplicación web que, según dicen, solo funciona si habilitamos ActiveX sin firmar (desafortunadamente, los usuarios deben usar IE). Entiendo lo que es 'firmar', así como los impactos básicos que podría tener si ejecutamos un software sin firma, como que el código del lado del cliente se ejecute en el navegador.
Mis preguntas son:
-
¿Es esto aceptable, antes que nada, de un estándar de seguridad (es decir, aceptar un software sin firma)?
-
¿El hecho de que ninguno de nuestros usuarios tenga privilegios de administrador en sus máquinas mitiga los riesgos de ejecutar software sin firma?
-
¿Es posible permitir el ActiveX sin firma solo para ese software, pero no para todo lo demás?
-
¿Significar realmente significa más seguro? Quiero decir, está firmado, ¿y qué?
Cualquier puntero a la lectura adicional también sería muy apreciado.