如何为 ActiveX 安装设置 Internet 搜索路径对象存储？

Question

功能追溯到 1996 年但我从未见过任何人实现该系统的“对象存储”部分。我也不知道微软是否发布了参考实现。

编写起来并不困难。它只需要接收 POST 请求并返回到“最佳”对象 URL 的重定向（基于请求的 MIME 类型、CLSID，并考虑客户端所期望的语言和 MIME 类型）。

但我不确定我是否看到了使用此功能的优势。你在寻找什么？

附加的完整性保证？无论如何，您只应允许安装已签名的控件，因此拥有自己的存储库并不意味着可以为您提供一些附加的完整性保证措施。
客户端的带宽利用率降低？控件的下载是通过 HTTP 完成的，因此缓存 HTTP 代理可以最大限度地减少代码下载所用的带宽，就像将客户端重定向到中央对象存储一样有效。

使用中央对象存储实际上对客户端用户权限没有任何影响，我认为这是与控制安装相关的主要问题。

假设您的用户没有“管理员”权限，因此他们无论如何都无法安装任意代码（机器范围内）。如果您拥有“现代”版本的 Windows，则可以使用ActiveX 安装程序服务将非管理员用户的 ActiveX 组件安装列入“白名单”。您可以在没有中央对象存储的情况下执行此操作。

IE 8 允许非管理员 ActiveX 控件安装（安装到 HKEY_CURRENT_USER 而不是 HKEY_CLASSES_ROOT）但用户只能通过这些安装来破坏自己的环境（当然，前提是他们没有“管理员”权限）。此功能也可以通过组策略禁用。

Answer 1

功能追溯到 1996 年但我从未见过任何人实现该系统的“对象存储”部分。我也不知道微软是否发布了参考实现。

编写起来并不困难。它只需要接收 POST 请求并返回到“最佳”对象 URL 的重定向（基于请求的 MIME 类型、CLSID，并考虑客户端所期望的语言和 MIME 类型）。

但我不确定我是否看到了使用此功能的优势。你在寻找什么？

附加的完整性保证？无论如何，您只应允许安装已签名的控件，因此拥有自己的存储库并不意味着可以为您提供一些附加的完整性保证措施。
客户端的带宽利用率降低？控件的下载是通过 HTTP 完成的，因此缓存 HTTP 代理可以最大限度地减少代码下载所用的带宽，就像将客户端重定向到中央对象存储一样有效。

使用中央对象存储实际上对客户端用户权限没有任何影响，我认为这是与控制安装相关的主要问题。

假设您的用户没有“管理员”权限，因此他们无论如何都无法安装任意代码（机器范围内）。如果您拥有“现代”版本的 Windows，则可以使用ActiveX 安装程序服务将非管理员用户的 ActiveX 组件安装列入“白名单”。您可以在没有中央对象存储的情况下执行此操作。

IE 8 允许非管理员 ActiveX 控件安装（安装到 HKEY_CURRENT_USER 而不是 HKEY_CLASSES_ROOT）但用户只能通过这些安装来破坏自己的环境（当然，前提是他们没有“管理员”权限）。此功能也可以通过组策略禁用。

相关内容