Microsoft Edge и приложения для Windows 10 в целом используют изоляцию AppContainer:
Изолируя приложение от сетевых ресурсов помимо специально выделенных, AppContainer не позволяет приложению «вырваться» из своей среды и злонамеренно использовать сетевые ресурсы. Детальный доступ может быть предоставлен для доступа в Интернет, доступа к интрасети и работы в качестве сервера.
Ваш тонкий клиент работает на корпоративной границе win10 для службы intranet ssl (localhost), поэтому доступ по умолчанию ограничен этим механизмом. С командой
CheckNetIsolation LoopbackExempt -a -n="Microsoft.MicrosoftEdge_8wekyb3d8bbwe"
вы отключаете сетевую изоляцию на этом хосте для сетевого адаптера обратной связи (localhost) для MS Edge, чтобы ваш клиент приложения (и любое другое приложение с локальным источником) мог работать на нем без ограничений для какой-либо службы localhost.
Это не работает в Edge, работает в любом другом браузере, включая IE11.
Они явно хотели улучшить стандартную политику безопасности предыдущих версий. Никогда не поздно, MS :) На самом деле существует Расширенный защищенный режим (EPM), который также может помешать запуску вашего приложения в IE. В Chrome есть песочница Google Chrome, который также можно настроить таким образом. Safari и Firefox также имеют функции песочницы, хотя я не знаком с их особенностями.
Обратите внимание, что то же самое работает, если не используется ssl.
Как правило, если вы используете ssl, это связано с тем, что вы имеете дело с конфиденциальными данными и/или критически важной службой. Если нет, можно быть более расслабленным. Опять же, просто вопрос политики безопасности.
Он также работает в версии Windows 10 Домашняя. Если это ожидаемое поведение, может кто-нибудь объяснить, почему Microsoft блокирует это в корпоративной версии, но работает в домашней версии?
Корпоративные версии любого продукта, как известно, имеют более строгие ограничения, поскольку их целевые пользователи в большей степени обеспокоены безопасностью (ИТ-специалисты обычно не хотят подвергать внутреннюю службу базы данных заработной платы своей компании внешним злоумышленникам и тому подобное). Кроме того, в этом случае поведение по умолчанию может быть легко определено/изменено экспертами ИТ-отдела (ознакомьтесь с политики безопасности домена), поэтому лучше оставить настройки по умолчанию в «параноидальном» режиме и позволить экспертам настроить их в соответствии с потребностями компании.
Обратите внимание, что при запуске тонкого клиента в браузере действуют другие механизмы, которые делают этот вид защиты избыточным (та же политика домена, защита от XSS и т. д.). Тем не менее никогда нельзя быть в полной безопасности: есть способы обойти эти средства защиты, такие как Self-XSS, которые требуют изоляции между браузером и локальной сетью, чтобы избежать компрометации системы. В конце концов, менее открытая поверхность означает меньше векторов атаки, поэтому изоляция хороша, если вы можете себе это позволить :)
person
NotGaeL
schedule
06.05.2017
