Le lourd héritage d'IE6 (2)
Microsoft Internet Explorer 8 :
Compatibilité : Pour IE, la question est de savoir comment migrer d’IE6 vers une version plus récente. En effet, il n’est pas possible de faire cohabiter plusieurs versions sur un poste de travail. Pour des raisons techniques tout d’abord, car Explorer reste très couplé avec le système Windows. Et pour des raisons légales, la licence de Windows ne l’autorise pas. Nous verrons qu’il est possible de contourner cette contrainte grâce à la virtualisation. Par ailleurs, certaines versions ne sont pas supportées sur certaines versions de Windows, comme le montre la matrice de compatibilité d’Internet Explorer. IE8 intègre trois moteurs de rendu HTML : Quirks (le moteur d’IE 5.5 et 6.0), IE7 et IE8. L’utilisateur peut choisir manuellement le moteur de rendu en pressant F12. Mais le basculement se fait aussi automatiquement, en fonction de balises présentes dans la page HTML (meta, doctype) et être piloté par des stratégies de groupe.
Installation : IE8 permet de créer un package d’installation au format. MSI, le format utilisé par la plupart des systèmes de télédistribution et utilisable pour déployer via des stratégies de groupe Active Directory. Microsoft fournit l’outil IEAK (Internet Explorer Administration Kit) qui permet à travers un assistant de paramétrer complètement le navigateur, d’intégrer des composants tiers, etc. et de créer un package personnalisé .msi ou .exe.
Déploiement : Internet Explorer peut être déployé automatiquement sur le réseau d’entreprise vers des groupes d’ordinateurs ou d’utilisateurs via les stratégies de groupe Active Directory en utilisant un package .msi.
Il peut être déployé également avec différentes méthodes, automatiquement avec System Center Configuration Manager (SCCM), Systems Management Server (SMS) ou semi manuellement avec Windows Update, Windows Server Update Services (WSUS), un répertorie partagé sur le réseau, un support amovible, un lien internet ou encore toutes sources de télédistribution.
Administration : Depuis la version 5, IE est administrable depuis Windows Server et Active Directory. Les stratégies de groupe (GPO ou Group Policy Object) permettent de paramétrer plus de 1 200 objets de stratégie, de maîtriser toute la configuration d’IE : personnalisation de l’apparence du navigateur, de la barre de titre, paramétrage du proxy à utiliser, de la page d’accueil et des favoris par défaut, des paramètres ou des options disponibles à l’utilisateur, l’autorisation ou le blocage de certains composants ou fonctions (ActiveX, navigation en mode privé..), etc.
Mise à jour : Les mises de sécurité et de fonctionnalités passent par le mécanisme de Windows Update. Il recommandé de centraliser les mises à jours via Windows Update Server, System Center Configuration Manager ou toute autre solution de télédistribution et de paramétrer les mises à jour via les stratégies de groupe.
Sécurité : IE étant le navigateur le plus utilisé, c’est donc naturellement celui qui est le plus ciblé par des attaques. Microsoft fournit des correctifs de sécurité réguliers (le deuxième mardi de chaque mois) et, exceptionnellement, des correctifs critiques hors cycle.
Sous Windows Vista et 7, IE8 dispose d’un mécanisme Mode Protégé : son exécution est isolée des autres applications. Il faut par exemple autoriser explicitement l’écriture d’un fichier en dehors du répertoire temporaire d’IE8.
Pour la gestion des certificats (ajouter, utiliser des autorités de certification), IE utilise les magasins de certificats de Windows. Il est donc possible d’utiliser des certificats internes à l’entreprise gérés de manière centralisée par des stratégies de groupe.
Pour l’authentification à des applications intranet, IE peut utiliser l’authentification de Windows. Un utilisateur ayant ouvert une session Windows sur son poste de travail n’aura pas à ressaisir ses identifiant/mot de passe pour aller sur un site SharePoint ou une application intranet.
Migration dIE6 vers IE8, les conseils de Microsoft, par Stanislas Quastana, architecte infrastructure chez Microsoft.
Selon votre expérience sur le terrain, quelles sont les entreprises qui sont impactées par la migration d’IE6 ?
Pour les entreprises de 30 000 à 180 000 postes, 60 % d’entre elles n’ont aucun problème de migration d’IE6 vers IE8, les applications fonctionnent à l’identique. Pour 15 à 20 % d’entre elles, elles rencontrent des problèmes d’affichage des pages, dus par exemple à une mauvaise utilisation des feuilles de styles.
Pour les 20-25 % restantes, il s’agit de vrais problèmes applicatifs. Ce sont des applications qui par exemple font un test sur la version d’IE, qui utilisent encore des composants ActiveX, qui utilisent un peu trop la permissivité du système, ou qui font appel explicitement à une machine virtuelle Java particulière. Dans ces cas, il peut y avoir des effets de bord sur les nouveaux navigateurs. Ces applications qui posent problème peuvent être :
• des logiciels d’éditeurs tiers (Oracle Hyperion, Siebel CRM…), des applications métier conçues pour certaines versions du navigateur. Microsoft tient à disposition le document « Windows Internet Explorer 8 Application Compatibility List for IT Professionals » qui recense 166 logiciels du commerce et leur compatibilité avec IE8.
• Des applications développées en interne. On peut alors modifier le code pour le rendre compatible IE8
• Des applications développées en interne, mais on n’a plus les sources ou les développeurs sont partis. Si elles sont vitales pour l’entreprise, elles devront être traitées comme des exceptions.
Quelles sont les solutions à envisager pour les différents cas ?
Les problèmes cosmétiques de rendu sont relativement simples à résoudre en faisant basculer IE8 en mode IE6. Ce basculement peut être piloté par la stratégie de groupe (GPO), lorsqu’un utilisateur navigue sur le nom de domaine de l’intranet par exemple, via une balise META spécifique ou la présence d’une balise DOCTYPE dans la page HTML.
Pour traiter les exceptions, lorsqu’on ne peut pas modifier l’application, on va utiliser des techniques de virtualisation. A cause de son couplage avec l’OS, on ne peut pas virtualiser l’application IE elle-même. En revanche, on peut côté client virtualiser un poste de travail Windows XP en mode entreprise avec Microsoft Enterprise Desktop Virtualization (MED-V). Côté serveur, on peut utiliser la virtualisation de présentation d’IE via Remote Desktop Services : l’utilisateur dispose alors d’un lien qui ouvre une session Terminal Server sur un IE6. Enfin côté serveur toujours, on peut virtualiser le poste de travail Windows XP. Concrètement, l’administrateur définit les URL qui nécessitent IE6, et sur lesquelles le poste de travail va ouvrir automatiquement une fenêtre IE6, qui est en fait une machine virtuelle sur une infrastructure de virtualisation VDI (Virtual Desktop Infrastructure). (Source 01 net)