Wie sicher ist das ein SMB zu Windows?

Question

Ich bin auf einen kleinen Hack gestoßen, der behauptet, dass er SMB: // unter Windows ermöglicht.
Die Beschwerde war, dass Dinge wie <a href="\\computername\path\file.ext">text</a> arbeitete nicht.
Während Sie in Ihren URLs die Datei: ///// verwenden können, wollte der Benutzer SMB: // so verwenden, dass er plattformübergreifend ist.

Der Hack lautet wie folgt:
1) Erstellen Sie diese Reg -Datei, speichern und führen Sie sie aus:

REGEDIT4

[HKEY_CLASSES_ROOT\smb]
@="URL:smb Protocol"
"URL Protocol"=""

[HKEY_CLASSES_ROOT\smb\shell]

[HKEY_CLASSES_ROOT\smb\shell\open]

[HKEY_CLASSES_ROOT\smb\shell\open\command]
@="\"C:\\smb.bat\" \"%1\""

Erstellen Sie dann die smb.bat-Datei in Ihrem C-Feuerler, das folgende enthält:

@echo off
cd C:\
set url=%~dpnx1
explorer \%url:~7%
exit

Meine Frage: Wie sicher ist das und andere Gedanken zu diesem Thema? Neben der Datei: ///// meine ich.

Answer 1

Für mich sieht es aus verdammt gefährlich, weil es es erlaubt Jede Website URLs " ressourcename" platzieren, die unabhängig vom Kontext funktionieren, und smb.bat wird aufgerufen, wenn Sie auf einen solchen Link klicken. Ich verstehe die Batch -Syntax nicht ganz (insbesondere der Teil), aber es scheint mir, dass es möglich ist, irgendeine Art von Argumentation an weiterzugeben explorer.exe.

Es gibt wahrscheinlich keine unmittelbare Gefahr, da es sehr unwahrscheinlich ist, dass ein externen Angreifer vermuten würde, dass Sie dieses Einrichten haben. Trotzdem ist es nicht sicher.

Answer 2

Ich würde den Server viel lieber erkennen, wie Windows -Clients Servername Pfadschema für diese und SMB: // für alles andere ausgegeben werden.

Answer 3

Ganz zu schweigen von SMB ist nicht das einzige Protokoll, das diese Syntax verwendet. Eine etwas kluge Idee, und ich wünschte, das SMB: // hat auch funktioniert.