A Google bejelentette az admin jogok nélkül telepíthető Google Chrome Frame-et

Google

Számos vállalatnál céges policy ilyen-olyan okokból, hogy a dolgozók gépén elavult Internet Explorer (nem ritkán IE6-IE7) verzió található meg és használható kizárólag webböngészőként. Nyilvánvalóan ez nem ideális a mai webes világban. A Google 2009-ben jelentette be Google Chrome Frame névre hallgató Internet Explorer pluginjét, amely a Google Chrome böngésző renderer-jét (weboldal megjelenítő motorját) és gyors JavaScript engine-jét teszi elérhetővé az Internet Explorer-ben. Egyetlen probléma volt vele: a telepítéséhez adminisztrátori jogok kellettek.

Ez nyilvánvalóan akadályozta a Chrome Frame terjedését, hiszen számos helyen nem rendelkeznek a felhasználók a saját gépükön admin jogokkal. A Google az ez évi Google I/O konferencián bejelentette, hogy eltávolította a Chrome Frame elől ezt az akadályt.

Tegnap pedig azt jelentette be, hogy megérkezett a Non-Admin Chrome Frame, amely már nem igényli az adminisztrátori jogok meglétét. A Non-Admin Chrome Frame egyelőre a developer channel-ben érhető el, de hamarosan megjelenik a stable channel-ben is.

( manfreed (nem ellenőrzött) | 2011. 06. 21., k – 11:35 )

kérdés, hogy miért tartunk még mindig ott, hogy egy cégnél ilyen szintű lemaradások vannak :(

No de ez még nem magyarázat arra, hogy egyébként miért ne lehene az IE6 mellett egy komolyabb böngésző ezeken a gépeken.

Nálunk fősulin egyszer frissítettek IE6-ról IE7-re, és valamiért le volt tiltva a lapfülezés. WinXP alatt a "dizájnos" témák voltak letiltva (megjegyzem ugyanezeken a gépeken most Win7 megy aeroval). Könyvtárban is IE6, később 7, szintén érthetetlen, hogy ilyen helyen miért nincs feltelepítve 2-3 féle böngésző?

update: ugyanitt a szabvány http és https portokon kívül majdnem minden port le volt tiltva kifele, úgyhogy az összes olyan weblap ami más portot használt, nem volt használható (8080? ugyan, nincs arra szükséged). Szerencsére kifele lehetett ssh-zni, úgyhogy lényegében semmi problémám nem volt. Nekem legalábbis, mert feltaláltam magam. Más meg szívott.

Komolyan: milyen biztonsági megfontolásból vannak kifele tiltva portok?

Szombathelyen a megyei könyvtárban Win2000-es gépek IE6-tal, még az IE6-ra felkészített weblapok se működtek JS errorok nélkül. Ráadásul az 1024-es monitorokra rákényszerítik a 800x600-as (szintén megváltoztathatatlan) felbontást, hogy a kis betűket is el lehessen olvasni.

Ez ugyan nem cég, de intézmény, szóval majdnem ugyanaz, sőt itt még érthetetlenebb...

Azért, hogy a gépeket arra használd/használják, amiért odarakták őket! Na meg ugye adatszivárgás elleni védelem, meg a háttérben futó nemkívánatos progik (és itt nem csak torrentre, FTP-re gondolok, sokkal inkább férgek, vírusok...) ne tudjanak netezgetni.
És akkor még nem beszéltünk az emberi tényezőről, amikor is a megrendelő elmondja mit akar. Lehet, hogy értelmetlen és "felesleges", de ha nem csinálod meg, akkor keres mást, aki megcsinálja neki

Le ne csesszél :)

Könyvtári gép, szerinted miért rakták oda? Nincs külön odaírva hogy mire szabad és mire nem használni. De tegyük fel netezésre. Az internetezésnek része az is, hogy olyan weboldalakat nézek, amik nem a szabvány portokon kommunikálnak. Előfordul. Része az emesenezés, sőt, az is, hogy a magammal vitt laptopon WoWozok.

Egy féreg meg ha ki akar küldeni adatot, akkor ki fog küldeni adatot, nehogy már azon múljon, hogy le van tiltva majdnem mindegyik port :) Használja majd azt, ami nincs.

"És akkor még nem beszéltünk az emberi tényezőről, amikor is a megrendelő elmondja mit akar. Lehet, hogy értelmetlen és "felesleges", de ha nem csinálod meg, akkor keres mást, aki megcsinálja neki"

Na igen. Hülyén működik a világ.

Miert kellene 2-3 fele bongeszo? Ha jol emlekszem nem kivansagmusorba hanem konyvtarba mentel... vegyel gepet, netet, tartsd karban es fizesd a szamlait es ott reklamalj es ott legyenek igenyeid... Vagy ott, ha odajonnek ismerosok (hasonlo okostojasok mint te) hogy nekik masik 3 bongeszo meg 5 egyeb app kellene ;o)

Ha meg van geped mi a fenenek 800x600-ben akarsz netezni egy korlatolt halon? Ez olyan mintha leszogezned a kezed es tiltakoznal hogy miert nem mozog ;o) Vagy ha tuntetni szeretnel hogy a ffiaknak is legyen joguk a szuleshez...

Ja es ezeken a helyeken tipikusan "hozzaertok" dolgoznak napi 24 oras supporttal es allandoan frissitgetik az alkalmazasokat hogy a kedves 80 eves Mari neni befarad akkor az acid teszten fullosan brillirozo bongeszo fusson neki full hd-ben ;o)))) Segitek ez sem ket forint megtenni ha nem ertesz hozza... A konyvtarak sem vegtelen osszegbol gazdalkodnak. De olyan cegnel ahol dolgoztam evi 60-80k euros it budget volt (az adott telephelyen es meg volt masik 170) megsem frissitettunk... Szabaly volt ra leven hogy minek.. szeparalt halo es a belso alkalmazasok futnak ie6-on. Nem php kiddie-k a legujabb ficsorok habjain szarnyalva krealtak nem mukodo oldalakat.

De mondok most elo peldat... Adott egy Citrix Server farm win2k3 r2 szervereken. Termeszetesen szeparalt halo... kisebb szado mazo volt felrantani ra az ie8-at (leven offline install amit a m$ tuzzel vassal irt). Es pont a draga ie9 miatt kell majd win2k8-ra frissiteni ;o) Noha semmi mas nem indokolja... Nem ket forint lesz... No ilyenekbe is gondolj bele es ne abba hogy mennyi neked letepni a legujabb bongeszot ;o)

"hasonlo okostojasok mint te"

Te meg menj a jó büdös… már ne haragudj, de hogy jössz ahhoz, hogy ilyen hangnemben válaszolj? De ha te is így, akkor én is. Innentől ne csodálkozz ha beszólok...

"Miert kellene 2-3 fele bongeszo? Ha jol emlekszem nem kivansagmusorba hanem konyvtarba mentel..."

Miért kellene? Nyilván a könyvtárlátogató, főleg a kevésbé hozzáértő szívesebben dolgozik a már megszokott böngészőjével. Az én kérdésem, hogy mi kifogásod van ellene? Kit zavarna? Az jobb ami most van mindenhol? Megjegyzem valahol működik az, hogy több böngésző fent van. Csak nem ez a divat. Nekik miért működik?

"vegyel gepet, netet, tartsd karban es fizesd a szamlait es ott reklamalj"

Nem reklamáltam. Elmondtam a véleményem olyan dolgokról, amik szerintem nem jól vannak. De igazad is van, legyen mindenhol IE6, mert az jó. Jóember, ne mondjad meg, hogy mit csináljak.

"Ha meg van geped mi a fenenek 800x600-ben akarsz netezni egy korlatolt halon?"

Először is. Nem mindig volt laptopom. Másrészt ebbe a könyvtárba pont nem lehet vinni gépet. Harmadszor: Mégis mi az isten problémád van azzal, hogy ezt megemlítettem? Még ha saját gépemen is gépelnék hülyeségnek tartanám. A világ leg logikátlanabb dolga, hogy akkor, amikor a web 1024-es felbontásra készül akkor a natívan 1024-es lcd-ken 800x600-at használnak. Vagy szerinted ez így jó? Vagy miért zavar hogy megemlítettem?

"Ja es ezeken a helyeken tipikusan "hozzaertok" dolgoznak napi 24 oras supporttal"

Nekem ne magyarázd meg, ez az egyik szakmám. De elárulom hogy a nem kétfős könyvtárakban azért van valamilyen szinten IT szakember, szóval nem okoz ott problémát plusz egy böngésző. Beállítani mégegyet ugye nem igényel diplomát...

"Segitek ez sem ket forint megtenni ha nem ertesz hozza..."

Micsoda? Végigmenni 20 gépen, elindítani egy telepítőt, és beírni a bejelentkező scriptbe, hogy törölje az előző böngészőprofilt? Esetleg a böngészőt privát módra kényszeríteni ha van olyan opciója? Ember ne nagy rendszerekre gondoljál itt, elhiszem hogy ott komolyabb háttérmunkák vannak, ahogy a példádban is említetted, de a legtöbb könyvtárban a géppark az simán kézzel telepítettett 10-20-30 gép. Ahol meg több van, ott vannak hozzáértő szakemberek akiknek nem okozna problémát egy ilyesmi

"Szabaly volt ra leven hogy minek.. szeparalt halo es a belso alkalmazasok futnak ie6-on. "

Ember, nem értem hogy jön ez ide. Egy kiba*szott KÖNYVTÁRRÓL beszélek látogatókkal, akik változatos weboldalakat nézegetnek, nem egy cégről belső rendszerrel, belső weboldalakkal, amik kifekszenek egy IE6 frissítéstől is

Egyébként nem érdemel ez az egész téma annyit amit te meg én írtunk már róla. Csak nem értem miért kötöttél belém ilyen agresszíven :)

Én igen. Devel serveren azt használsz, amit akarsz, de aki ilyen servert üzemeltet nyilvánosan, az vegye tudomásul, hogy nem mindenki fogja tudni olvasni. Ami egy devel servernél nem is baj, de amikor éles üzleti dolgot raknak teljesen hülye portokra, és el is várják másoktól, hogy használják... ennél kisebbért is öltek már embert. :)

A kimenő port korlátozásának egyszerű oka van: rengeteg féreg tölti le a 'maradék' részét tetszőleges portról. Ha meg mondjuk proxyt használsz, ott is alap, hogy a szabvány portokon közlekedünk. Minden más már kivételkezelés.

Ha én férget írnék, az első dolog ami eszembe jutna, hogy megoldanám, hogy a 80-as porton sima http kérésekkel kommunikáljon kifele. Nem olyan hatékony, de tuti nyitva van, és még a tűzfalak küszöbszintjét se biztos hogy eléri. Szóval vagy a féregírók hülyék, vagy ez nem jó indok

update: a helyen ahol ez volt semmilyen programot nem lehetett futtatni házirendi korlátozás miatt. Szóval a férgek se nagyon futnának

update2: ugyanebben a gépteremben wowoztam. a 22 épp nyitva volt, az SSH segített, de ha nem lett volna nyitva, akkor csak annyi, hogy átírom 80-ra a szerverem portját.

Nem te írsz férget, továbbá attól, hogy van lyuk egy rendszeren, nem kell egyből szitát csinálni. És az indok továbbra is egyszerű: ez a szabvány, kéretik betartani. Vagy számodra email esetén is természetes lenne, hogy nem a 25-ös porton küldözget levelet, mert csak?

Azám, nálunk a cégnél pl 2525 van használatban :)

De mondom, egyetértek azzal, hogy 80-on jöjjenek a dolgok, de zavarónak tartom a korlátozást.

Van azért több minden ami szívás volt ott. Pl streamelt media nem ment, mert az se 80-on jött. Webrádiók szokása nem 80-at használni. Az se ment. A vicces, hogy nem tudtunk realmedia streamet lejátszani, pedig egy NAVA pont volt a könyvtár, és ott rm-ben voltak a cuccok.

Ezek azért olyan dolgok, amiket úgy csinálgatna az ember egy könyvtárban.

( Xterm v | 2011. 06. 21., k – 11:50 )

micsoda öröm karbantartani olyan userek gépét, ahol olyan programokat használnak, amik telepítéséhez nem kell admin jog... egy böngésző pláne "örömforrás" tud lenni.

--
xterm

pont arra amit leírtam :) amúgy azt értettem alatta, hogy egy böngésző, vagy annak komponense, vagy akár egy instant messenger kliens engedély nélküli telepíthetősége elég komoly kockázat. mert ismert programok ellen védekezni könnyebb, mint teljesen heterogén, random likakkal telerakott szemetek ellen (még akkor is, ha az a legbiztonságosabb program, amit felteszel). gondold tovább és megérted.

--
xterm

Lehet hihetetlen, de a user is csak a munkáját akarja elvégezni, és ha ahhoz az kell, hogy egy olyan programot használjon, ami nincs feltelepítve, akkor nem biztos, hogy az a legjobb megoldás, hogy megvárja, amíg az IT 5 nap múlva felrakja neki, és addig malmozik...
Amúgy elég komoly helyen dolgozok, és szerencsére nálunk nem a user van az IT-ért, hanem az IT van azért, hogy a user dolgozni tudjon...

lehet hihetetlen, de ha a munkavégzéséhez kell egy program, akkor az a gépén van. nem árt ugyanis, ha a munkájához szükséges dolgokról az it is tud. nehogy azt mondd már, hogy a munkavégzés közben hirtelen kiderül, hogy a következő 5 kattintás olyan programmal kell, ami nincs fent a gépén :) nem mellesleg az az 5 nap arra is jó, hogy az adott környezetben egyáltalán üzemszerűen működtethető-e a kis okoska programja (mert hát ilyenkor szidni nagyon tudják az it-t, de amikor a programjával elbarmol valamit, akkor meg az it mentse meg az életét is...). tudomásul kell venni, hogy a munkahely az munkára van (és igen, ahhoz, hogy jobban érezze magát a dolgozó, szokás tenni engedményeket. előre egyeztetve, stb. nem randomban telepítve, mert meglátott valamit és mi az, hogy ő nem teheti fel).

kulcsszó: felelős viselkedés.

--
xterm

( Sanya v | 2011. 06. 21., k – 12:03 )

A Debreceni Egyetem sürgősségi osztályát karbantartó OKOS rendszergazda mindent letiltott a gépről, csak egy ie 6 amradt, ami veszett korszerű, és biztonságos. szerencsére mozilla firefox portable és chrome az admin jog nélkül telepíthető.

Ó dehogynem. Kis idle után kaptam picit több joggal rendelkező felhasználót, és már nem volt ilyen problémám.

Valahol tök jogosnak tartom amúgy, hogy le van tiltva minden külső program, de akkor már illik biztosítani valami használható szoftverkörnyezetet, nemde?

Akkor már egyszerűbb lett volna letiltani _minden_ netes hozzáférést, és kioperálni _minden_ usb portot/dvd olvasót ;] Mint a gépsoron, ahol az is megvan szabva, hogy napi hányszor lehet kimenni budira. Valahol ez azért elég szánalmas. Nem azt mondom, hogy mindent lehessen, de egy kis rugalmasság ráférne pár betonkocka cégre, ahol az IT alapelveket 10 éve lefektették, oszt azóta semmi előrelépés nem volt.

Nálunk pl vannak "megbízható" felhasználók, akik egy kicsit több lehetőséget kapnak. Nekem binugz is járt (v jutott - kinek hogy), biztos ki akartak velem kúrni.

Akkor már egyszerűbb lett volna letiltani _minden_ netes hozzáférést, és kioperálni _minden_ usb portot/dvd olvasót

Egyszerűbb annál, mint megtiltani simán a szabályzatban? Nem hinném... Egyszerűbbnek semmiképp se egyszerűbb, viszont tény, hogy biztosabb megoldás lenne, csak sok helyen ez kivitelezhetetlen.

egy kis rugalmasság ráférne pár betonkocka cégre, ahol az IT alapelveket 10 éve lefektették, oszt azóta semmi előrelépés nem volt

Általában sehol se ezt fektették le 10 éve, inkább pont hogy jópár incidens miatt szigorították meg a szabályzatot az évek során. (Az más téma, hogy valahol hibás döntéseket hoznak a biztonság "érdekében")

Nálunk pl vannak "megbízható" felhasználók, akik egy kicsit több lehetőséget kapnak.

Mindenhol vannak, de alaposan meg kell válogatni ezeket a usereket. Volt szerencsém olyan "kiemelt" dolgozóhoz, aki banki hálózatban azzal kezdte az első munkanapját, hogy feltelepített egy torrent klienst a munkaállomására...

Az utolsó bekezdés szíven ütött, sajnos egyre inkább ez a trend. Szerintem az lenne a normális hogy egy céges gépen (főleg egy bankban) még egy ikont se tudj arrébb tenni. Erre mi az alap? Lehet telepíteni, meg portable verziót feltenni, van hóemberkés képernyővédő Karácsonyra, és természetesen működik a ****book, a jutyub és az összes flash-es, silverlightos, javascriptes, activeX-es szutyok.
Mindezek bankokban, kórházakban, bíróságokon stb.

_____________________
echo crash > /dev/kmem

Ez egy kiemelt dolgozó volt, akinek joga volt telepítésre. Azt akartam vele szemléltetni, hogy alaposan meg kell válogatni a "megbízható" felhasználókat is, akik extra privilégiumokat kapnak, mert nem mindegyik érti meg milyen felelősséggel tartozik azért, hogy ő ilyen engedményt kapott...

És hogy ki kap ilyen privilégiumokat azt általában nem az IT személyzet dönti el, hanem a helyi főnök, igazgató, aki nem ért hozzá... És meg is érkeztünk a ahhoz a helyzethez, ami a legtöbb cégnél uralkodik. Nevezetesen, ha akarsz sem tudsz megfelelő biztonságot kialakítani, mert azonnal bemószerolnak, hogy akadályozod őket a nekik megfelelő munkavégzésben.

--
trey @ gépház

Nálunk squid/dansguardian-on keresztül lehet böngészni, és olyan jól van beállítva, hogy pl. a twitter le van tiltva, a facebook nem, a youtube igen, de a dailymotion nem. Ja, és vannak bizonyos fasza regex-ek, ami miatt pl. nem enged a 'breast cancer' kifejezésre sem keresni. :-D
"no video codec le a win32vel", de "Gentoohoz lehet meg tul fiatal vagy"

De a beállítás előtt mindenképpen alá kell vele iratni egy papírt, miszerint ő ezt kérte az IT-tól, az ezzel kapcsolatos biztonsági kockázatokkal (úgy mint adatszivárgás, adatlopás, corporate IT infrastruktúra összeborítása) tisztában van és vállalja érte a teljes felelősséget. Két példányban, tanúval, pecséttel, iktatva. Ilyenkor általában nem lesz annyira fontos...

Nem sok olyan céget láttam, ahol tiltva van a belső hálózatban a levelező kliens és csak webmailt használhatnak a dolgozók.

Az meg természetes, hogy ha házirendben szabályzottan Outlook van előírva a cégnél, akkor ne akarjon a szakértő júzer Thunderbirdöt vagy tudomisén "The Bat"-ot használni...

"ha meg nem kell a munkához, akkor ne számítógépezzen munkaidőben (mint ahogy én is teszem most :D)"

Na igen, elég sokan mutatunk képet itt, miközben munkaidőben vitatjuk a témát :)

Azért azt hozzátenném, hogy nem feltétlenül szörnyű nagy bűn munkaidőben kikapcsolódási céllal használni a gépet. Egyrészt vannak szünetek. Másrészt van olyan munkakör, ami nem igényel folyamatos munkát. Pl egy portás, aki félóránként találkozik egy betérővel miért ne tölthetné ki az üresjáratokat? Eddig is kitöltötte, csak nem gépen, hanem újságot, könyvet olvasgatva, rádiót hallgatva. Miben különbözik ez attól, hogy lenyom egy sakkjátszmát valamelyik flash játékkal, vagy elolvas egykét hírt valami őt érdeklő hírportálon, neadjisten facebookozik?

Szóval szerintem nem lehet általánosságban megmondani, hogy a munkagép munkagép, és csak is kizárólag arra használható. Illetve meg lehet, de szegény portásunkat biztos nagyon zavarná, és frusztrált lenne, az pedig a munkamoráljára negatívan hat. Nyilván egy banki dolgozó akinek percenként kell fogadnia ügyfeleket az ne nyomjon le egy farmville aratást két ügyfél közt, de ha épp úgy adódik, hogy üresjáratba kerül, akkor miért ne?

( kikke | 2011. 06. 21., k – 12:44 )

Ha csak ez az egy probléma lett volna vele...