Webアプリと同等のデスクトップアプリを使用することの背後にある一般的なセキュリティの影響は何ですか?
2020年には、「デスクトップアプリ」だけでなく、Webインターフェースを備えた多くのアプリケーションがあります。このようなアプリケーションは、機能が同じか、非常に近いものです。この状況の3つの例はSlack、Discord、およびKeeper Securityアプリケーションです。ユーザーとして、私は多くの場合、選択肢を残されています。ブラウザーでwebappを使用するか、それともデスクトップappをダウンロードしてインストールするか?
曖昧にしないために、「どちらが安全か」という質問はしません。これは、具体的な参照がないと回答できない場合があるためです。ただし、これらのアプリケーションの多くがChrome、V8、Electron、Monoなどのランタイム上で実行されているという事実は真実です...この質問の目的のために、アプリはこのスタイルであり、 CまたはC++で直接記述された「完全にネイティブな」コンパイル済みアプリではありません。
機能の違い(たとえば、ライブストリーミングを行うにはデスクトップアプリが必要)を無視して、ブラウザアプリとデスクトップアプリの使用による一般的なセキュリティの影響をリストしてください。
セキュリティ上の理由から、デスクトップアプリではなく、ブラウザー内のバージョンのアプリを実行した方がよいのはなぜですか?たとえば、「ブラウザーで実行されるWebアプリでの悪用はタブのプロセスに限定されますが、デスクトップアプリでは、より大きなスコープにアクセスする可能性があります」などです。
デスクトップアプリケーションをインストールすると、サービスプロバイダーが100%信頼されることになります。これは、Webブラウザーで特権的なリモートコードの実行を取得する仮想セキュリティと同等です。これは、非常にまれなセキュリティイベントです。セキュリティ概念の証明:プロバイダーは、デスクトップアプリを使用してデバイスに対して大幅に多くを実行できます。
信頼には多くの側面があります。 DiscordとSlackはよく知られている公開企業であるため、直接悪意のあることをする可能性は低いですが、セキュリティエンジニアリングの実践にも絶対的な信頼を置いています。たとえば、ユーザーが生成したコンテンツを処理するチャットアプリであるため、攻撃に対して脆弱です。 SlackまたはDiscordを信頼して、GoogleがChromeで行うのと同等のセキュリティ投資を提供しますか?彼らがエレクトロンのようなフレームワークを使用している場合、彼らは常にベストプラクティスを使用すると信頼していますか?
参考として;デスクトップでは、DiscordとSlackには常にブラウザーベースのクライアントを使用します。これは、ネイティブアプリケーションが十分な付加価値を提供するとは思わないためです。モバイルデバイスでは、価値があるのでアプリを使用します。アプリのセキュリティモデルは、よりニュアンスが高く、サンドボックス化されています。