1shaman 29 апр 2022 в 14:00

Безопасный веб-сёрфинг с помощью сервера ReCoBS

6 мин

4.7K

Блог компании FirstVDSИнформационная безопасность*Системное администрирование*Браузеры

Перевод

+11

Комментарии 7

rezdm 29 апр 2022 в 21:55

У нас подобная пепяка установлена (Цитриксом). По факту -- просто ремоут окно броузера, куда-то вроде в цитрикс зене. Оно для броузинга -- ну нормуль, но есть неудобства:

Запускается дико долго
Нужно держать что-то, что будет определять, какой броузер открывать (интранет или интернет) при нажатии по ссылке в письме
Оно всё же медленно (то есть, если надо работать с медиаконтентом -- так себе)
(В случае решения у нас) переключение раскладок клавиатуры -- боль, тоска и унижение
Надо пробрасывать принтеры
Я видел (сам же и разрешил) грабли с хай-дпи мониторами
Иногда бывает нужно что-то закопипастить из локального документа в своё собственное письмо, ну или отсканировать файл и передать его себе -- с этим плохо
И всё равно некоторым приложениям надо иметь доступ напрямую -- соотв. надо держать инфраструктуру для этого
Если разраб -- всё несколько усложняется тем, что держать открытым надо больше, чем для среднего пользователя

Ещё есть решения в друхе Bromium, HP Enterprise Browser -- вот это выглядит получше. Это локальный броузер, но он работает в своей песочнице. Насколько из неё можно вылезти -- это вопрос.

ALito 4 мая 2022 в 09:08

Автор описывает полную изоляцию среды выполнения броузера, кроме загружаемых файлов, а вы начинаете описывать ситуации "полумер".

Броузер удаленно, но принтера пробросим - однозначно дыра в безопасности.

Копипастить туда/сюда - утечка данных.

В организациях с повышенными мерами безопасности, такие хотелки юзеров, разрабов и прочих, быстро заканчиваются при общении со специалистами СБ.

rezdm 4 мая 2022 в 09:18

Именно. А потом начинается «ой, нам надо с этим контрагентом логиниться в их систему», «отсюда нам надо загружать отчет», «тут нам надо отправлять эксельные файлы».

Наша контора начала именно с полной изоляции (см начало — удаленный цитрикс-броузер), но это дичайше неудобно в каждодневном использовании.

Где баланс? Не знвю.

ALito 4 мая 2022 в 10:33

Баланса нет.

Есть соответствие принятой политике безопасности.

connected201 30 апр 2022 в 09:47

Хорошая актуальная альтернатива:

https://github.com/kimmknight/rdpx

werter_l 1 мая 2022 в 11:42

Спасибо за статью.

Гляньте еще на:

https://github.com/dkmstr/openuds

https://www.kasmweb.com/index.html

https://github.com/UPC/ravada

https://github.com/joshpatten/PVE-VDIClient

https://www.reddit.com/r/Proxmox/comments/c8karr/deploy_deskpool_vdi_on_proxmox/

swshoo 4 мая 2022 в 09:33

Интересно. У нас используется 2012 сервер. Что по пороблемам - бывает зависают сесси у пользователей. Приходится ручками прибивать. Опубликованы браузеры хром, яндекс, фирефокс - пользюки могут открывать по 20 вкладок, а каждая вкладка 20-100 м памяти. Бывает, подвисает один из нагруженных серваков в ферме. Вот тогда самый треш начинается.

Бывает, манегеры хотят просмотреть учебные ролики и тут приходится кроить с доступом не по rdp -).

Зарегистрируйтесь на Хабре, чтобы оставить комментарий