Agregar SMB a Windows, ¿qué tan seguro es esto?

Question

Me encontré con un pequeño truco que afirma que habilita smb:// en Windows.
La queja fue que cosas como <a href="\\computername\path\file.ext">text</a> no estaban trabajando.
Si bien es cierto que puedes usar file:///// en tu URL, el usuario quería usar smb:// para que sea multiplataforma.

El truco es el siguiente:
1) Cree este archivo Reg, guárdelo y ejecútelo:

REGEDIT4

[HKEY_CLASSES_ROOT\smb]
@="URL:smb Protocol"
"URL Protocol"=""

[HKEY_CLASSES_ROOT\smb\shell]

[HKEY_CLASSES_ROOT\smb\shell\open]

[HKEY_CLASSES_ROOT\smb\shell\open\command]
@="\"C:\\smb.bat\" \"%1\""

Y luego cree el archivo smb.bat en su carpeta C, que contiene esto:

@echo off
cd C:\
set url=%~dpnx1
explorer \%url:~7%
exit

Mi pregunta:¿Qué tan seguro es esto y alguna otra idea al respecto?Además de lo que quiero decir file://///.

Answer 1

A mi me parece maldición peligroso porque permite cualquier sitio web para colocar URL "\ ESOURCENAME", que funcionarán independientemente del contexto, y smb.bat Se llamará si hace clic en dicho enlace.No entiendo del todo la sintaxis por lotes (especialmente la parte ~) pero me parece que es posible pasar cualquier tipo de argumento a explorer.exe.

Probablemente no haya ningún peligro inmediato porque es muy poco probable que un atacante externo adivine que tienes esto configurado.Aún así, seguro no lo es.

Answer 2

Me gustaría mucho más que el servidor de Windows detecto clientes de salida \ esquema de ruta de servidor \ para aquellos y SMB: // para todo lo demás.

Answer 3

Por no mencionar, SMB no es el único protocolo que utiliza la sintaxis, lo mismo ocurre con cualquier otro sistema de archivos, como WebDAV. idea algo inteligente sin embargo, y me gustaría que SMB: // trabajaron también

.