L'aggiunta di SMB a Windows, quanto è sicuro questo?
Domanda
mi sono imbattuto in un piccolo hack, che sostiene consente smb: //. Sulle finestre
Il problema era che le cose come <a href="\\computername\path\file.ext">text</a>
non funzionavano.
Mentre vero che è possibile utilizzare il file: ///// nella url, l'utente voleva usare smb: //. In modo che sia cross-platform
L'hack è la seguente:
1) Creare questo file Reg, salvarlo ed eseguirlo:
REGEDIT4
[HKEY_CLASSES_ROOT\smb]
@="URL:smb Protocol"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\smb\shell]
[HKEY_CLASSES_ROOT\smb\shell\open]
[HKEY_CLASSES_ROOT\smb\shell\open\command]
@="\"C:\\smb.bat\" \"%1\""
E poi creare il file smb.bat nella C-cartella, che contiene questo:
@echo off
cd C:\
set url=%~dpnx1
explorer \%url:~7%
exit
La mia domanda: come sicuro è questo, e tutti gli altri pensieri al riguardo? Oltre il file:. ///// cosa voglio dire
Soluzione
A me, sembra dannatamente pericoloso perchè permette qualsiasi sito web per inserire gli URL "\\ ResourceName", che funzionano a prescindere dal contesto, e smb.bat
saranno chiamati se si fa clic su tale collegamento. Non del tutto a capire la sintassi batch (la parte ~ soprattutto), ma mi sembra che sia possibile passare qualsiasi tipo di argomento per explorer.exe
.
Probabilmente non c'è pericolo immediato, perché è molto improbabile che un attaccante esterno immagino hai questo set up. Eppure, al sicuro non lo è.
Altri suggerimenti
I Preferiamo avere il server rilevare client Windows Schema di percorso nomeserver \ output \ per chi e smb: // per tutto il resto.
Per non parlare, SMB non è l'unico protocollo che utilizza questa sintassi, così fa qualsiasi altro file system come ad esempio WebDAV. Un po 'idea intelligente, però, e mi auguro che smb: // lavorato troppo
.