L'aggiunta di SMB a Windows, quanto è sicuro questo?

Question

mi sono imbattuto in un piccolo hack, che sostiene consente smb: //. Sulle finestre
Il problema era che le cose come <a href="\\computername\path\file.ext">text</a> non funzionavano.
Mentre vero che è possibile utilizzare il file: ///// nella url, l'utente voleva usare smb: //. In modo che sia cross-platform

L'hack è la seguente:
1) Creare questo file Reg, salvarlo ed eseguirlo:

REGEDIT4

[HKEY_CLASSES_ROOT\smb]
@="URL:smb Protocol"
"URL Protocol"=""

[HKEY_CLASSES_ROOT\smb\shell]

[HKEY_CLASSES_ROOT\smb\shell\open]

[HKEY_CLASSES_ROOT\smb\shell\open\command]
@="\"C:\\smb.bat\" \"%1\""

E poi creare il file smb.bat nella C-cartella, che contiene questo:

@echo off
cd C:\
set url=%~dpnx1
explorer \%url:~7%
exit

La mia domanda: come sicuro è questo, e tutti gli altri pensieri al riguardo? Oltre il file:. ///// cosa voglio dire

Answer 1

A me, sembra dannatamente pericoloso perchè permette qualsiasi sito web per inserire gli URL "\\ ResourceName", che funzionano a prescindere dal contesto, e smb.bat saranno chiamati se si fa clic su tale collegamento. Non del tutto a capire la sintassi batch (la parte ~ soprattutto), ma mi sembra che sia possibile passare qualsiasi tipo di argomento per explorer.exe.

Probabilmente non c'è pericolo immediato, perché è molto improbabile che un attaccante esterno immagino hai questo set up. Eppure, al sicuro non lo è.

Answer 2

I Preferiamo avere il server rilevare client Windows Schema di percorso nomeserver \ output \ per chi e smb: // per tutto il resto.

Answer 3

Per non parlare, SMB non è l'unico protocollo che utilizza questa sintassi, così fa qualsiasi altro file system come ad esempio WebDAV. Un po 'idea intelligente, però, e mi auguro che smb: // lavorato troppo

.