Wykonywanie plików przez hiper³¹cze i okno dialogowe Pobieranie pliku w programie Internet Explorer

Wiele witryn sieci Web, szczególnie w intranetach przedsiêbiorstw, zawiera hiper³¹cza do plików, które u¿ytkownik musi wykonywaæ na komputerze lokalnym. Z oczywistych wzglêdów bezpieczeñstwa program Internet Explorer nie pozwala, aby klikniêcie hiper³¹cza powodowa³o automatyczne uruchomienie jakiegokolwiek pobranego pliku wykonywalnego b¹dŸ innego potencjalnie niebezpiecznego pliku bez wyœwietlenia odpowiedniego monitu.

W takich sytuacjach wyœwietlenie okna dialogowego Pobieranie pliku jest nieuniknione. Wyœwietleniu tego okna dialogowego nie mo¿na zapobiec przez u¿ycie tagów HTML, skryptu na stronie czy formantu WebBrowser ani przez zmianê opcji strefy zabezpieczeñ.

Niestety to okno dialogowe mo¿e negatywnie wp³ywaæ na interfejs oparty na sieci Web, który u¿ywa tego rodzaju ³¹czy w celu u³atwienia korzystania z plików wykonywalnych przechowywanych na serwerze sieci Web. W tym artykule omówiono dwie alternatywne bezpieczne metody automatycznego wykonywania plików przez hiper³¹cze.

S¹ dwa g³ówne powody, dla których program Internet Explorer wyœwietla okno dialogowe Pobieranie pliku: bezpieczeñstwo i mo¿liwoœæ wyboru. Ze wzglêdów bezpieczeñstwa przegl¹darka nigdy nie mo¿e automatycznie wykonaæ potencjalnie niebezpiecznego pliku w systemie u¿ytkownika bez mo¿liwoœci interwencji u¿ytkownika. Ponadto, zamieszczaj¹c w witrynie sieci Web tradycyjnie u¿ywane ³¹cza do plików wykonywalnych, oczekuje siê, ¿e u¿ytkownik zrobi jedn¹ z dwóch rzeczy: wykona plik lub go zapisze. Niestety w specyfikacji jêzyka HTML dotycz¹cej tagu kotwicy (<A>) ani w bie¿¹cym modelu obiektowym skryptów nie ma mechanizmu, który umo¿liwia³by witrynie sieci Web wskazanie, jaka czynnoœæ jest oczekiwana w przypadku danego ³¹cza. Dlatego ciê¿ar wyboru spoczywa na u¿ytkowniku. To on musi zdecydowaæ, czy chce plik uruchomiæ, czy zapisaæ.

W programie Internet Explorer decyzja, czy ma zostaæ wyœwietlone okno dialogowe Pobieranie pliku, zapada g³ównie w wyniku sprawdzenia rozszerzenia pliku i wyszukania w rejestrze aplikacji s³u¿¹cej do jego odczytywania. W przypadku wiêkszoœci typów plików u¿ytkownik mo¿e wyczyœciæ opcjê Zawsze pytaj przed otwarciem pliku tego typu w tym oknie dialogowym, udzielaj¹c w ten sposób programowi Internet Explorer zezwolenia na niewyœwietlanie w przysz³oœci tego okna dialogowego w zwi¹zku z plikami danego typu. U¿ytkownik mo¿e równie¿ zmieniæ to ustawienie przez wyczyszczenie pola wyboru PotwierdŸ otwarcie po pobraniu w oknie dialogowym Edytowanie typu pliku dostêpnym z okna dialogowego Opcje folderów pow³oki.

Jednak program Internet Explorer zawiera wstêpnie zdefiniowan¹, ustalon¹ listê rozszerzeñ plików, którym z natury nie ufa. Rozszerzenia te odpowiadaj¹ rodzajowym plikom wykonywalnym i innym rodzajom plików, które mog¹ wyrz¹dziæ szkodê komputerowi u¿ytkownika w przypadku braku w³aœciwych zabezpieczeñ. W przypadku ¿adnych plików tego typu nie mo¿na zapobiec wyœwietleniu okna dialogowego Pobieranie pliku. Opcja Zawsze pytaj przed otwarciem pliku tego typu jest dla nich wyszarzona w tym oknie dialogowym i u¿ytkownik nie mo¿e jej zaznaczyæ. Oto lista rozszerzeñ plików tego typu: W niniejszym artykule przyjêto konwencjê, ¿e pliki tego typu s¹ nazywane plikami „wykonywalnymi”.

Rozwa¿my teraz scenariusz prostej witryny sieci Web w intranecie przedsiêbiorstwa, która zawiera listê ³¹czy do plików wykonywalnych na przyjaznej stronie sieci Web. £¹cza te prowadz¹ do plików, które z za³o¿enia maj¹ byæ pobierane i natychmiast wykonywane. Bior¹c pod uwagê, ¿e bezpieczeñstwo tych plików wykonywalnych jest najprawdopodobniej gwarantowane przez przedsiêbiorstwo (w zakresie, w jakim mo¿e byæ bezpieczny jakikolwiek inny typowy program komputerowy), koniecznoœæ uporania siê za ka¿dym razem z oknem dialogowym Pobieranie pliku by³aby dla u¿ytkownika niezwykle uci¹¿liwa, szczególnie jeœli ta strona jest u¿ywana codziennie.

Program Internet Explorer bêdzie wyœwietla³ okno dialogowe Pobieranie pliku nawet wtedy, gdy pliki wykonywalne zosta³y podpisane i u¿ytkownik ufa podpisuj¹cemu. Co gorsza, ta niedogodnoœæ dotyczy równie¿ hiper³¹czy UNC systemu Windows — hiper³¹czy „\\serwer\udzia³”, które omijaj¹ serwer sieci Web.

W przypadku intranetów przedsiêbiorstw istnieje alternatywa wobec czystych hiper³¹czy, zwana w tym artykule ³¹czeniem typu IFRAME. W przypadku witryn internetowych nie mo¿na zastosowaæ tej metody, ale mo¿na zastosowaæ metodê zwan¹ w tym artykule ³¹czeniem typu Pobieranie kodu internetowego. (Ta druga metoda jest dostêpna równie¿ dla przedsiêbiorstw).

Uwaga W przypadku domyœlnych poziomów zabezpieczeñ zastosowanie ka¿dej z tych metod powoduje, ¿e nadal s¹ wyœwietlane okna dialogowe zabezpieczeñ. Jednak w odró¿nieniu od k³opotliwego okna dialogowego Pobieranie pliku, wyœwietlaniem wszystkich tych okien dialogowych zabezpieczeñ mo¿na sterowaæ za pomoc¹ standardowych opcji zabezpieczeñ opartych na strefach. W przypadku metody ³¹czenia typu IFRAME okno dialogowe, które mo¿e byæ wyœwietlane, zawiera tekst „Uruchomienie polecenia systemowego dla tego elementu mo¿e byæ niebezpieczne...”, a do sterowania tym oknem dialogowym s³u¿y niestandardowa opcja zabezpieczeñ Uruchamianie programów i plików w ramce IFRAME. W przypadku metody ³¹czenia typu Pobieranie kodu internetowego okno dialogowe, które mo¿e byæ wyœwietlane, zawiera tekst „Czy chcesz zainstalowaæ i uruchomiæ...”, a do sterowania tym oknem dialogowym s³u¿y niestandardowa opcja zabezpieczeñ Pobierz podpisane formanty ActiveX.

W przypadku u¿ycia opisanych w tym artykule metod w œrodowisku intranetu zdecydowanie zaleca siê, aby te zmiany ustawieñ zosta³y zatwierdzone i wprowadzone dla wszystkich u¿ytkowników witryny sieci Web przez administratorów przedsiêbiorstwa. Zestaw IEAK (Internet Explorer Administration Kit) zapewnia administratorom prosty mechanizm sterowania takimi ustawieniami przegl¹darki i ich propagacji. Aby uzyskaæ wiêcej informacji, odwiedŸ nastêpuj¹c¹ witrynê TechNet firmy Microsoft w sieci Web:Publiczne witryny internetowe nie powinny wymagaæ od u¿ytkowników dokonywania zmian jakichkolwiek ustawieñ zabezpieczeñ w celu umo¿liwienia wyœwietlenia witryny sieci Web. W zamian witryna wymagaj¹ca zmienionych zabezpieczeñ powinna ¿¹daæ, aby u¿ytkownik doda³ j¹ do listy „Zaufane witryny” na stronie w³aœciwoœci zabezpieczeñ Opcje internetowe. Taka witryna dzia³a³aby nastêpnie w kontekœcie wystarczaj¹co niskiego poziomu zabezpieczeñ, aby w przypadku obu metod opisanych w tym artykule nie by³y wyœwietlane monity.

£¹czenie typu IFRAME

W przypadku tej alternatywy strona sieci Web wykorzystuje mo¿liwoœæ wyœwietlania przez program Internet Explorer widoków listy plików w stylu Eksploratora wewn¹trz swobodnych ramek (<IFRAME>). Wykonaj nastêpuj¹ce kroki:

1. Przenieœ pliki do specjalnej lokalizacji serwer\udzia³\katalog, do której wszyscy okreœleni u¿ytkownicy maj¹ uprawnienia dostêpu za poœrednictwem hiper³¹cza UNC systemu Windows.
2. Utwórz osobny katalog dla ka¿dego pliku wykonywalnego i skopiuj pliki do tych katalogów. Ka¿dy z tych katalogów powinien zawieraæ tylko jeden plik wykonywalny.
3. Tam, gdzie bêdzie u¿ywane hiper³¹cze do pliku wykonywalnego, do³¹cz kod HTML w nastêpuj¹cej postaci:

   Kliknij ikonê w nastêpuj¹cym oknie, aby uruchomiæ ten specjalny
   program automatycznie, bez wyœwietlania irytuj¹cych okien dialogowych:
   
   <IFRAME SRC="\\serwer\udzia³\katalog"></IFRAME>
   						

   Nale¿y zauwa¿yæ, ¿e ten kod HTML wskazuje katalog, w którym znajduje siê plik, a nie sam plik.

Dany katalog jest wyœwietlany przy u¿yciu widoku plików w stylu Eksploratora. Gdy u¿ytkownik kliknie ikonê w tym widoku, plik zostanie wykonany tak, jakby u¿ytkownik klikn¹³ ikonê pliku w tradycyjnym oknie Eksploratora Windows.

£¹czenie typu Pobieranie kodu internetowego

W przypadku tej z³o¿onej metody alternatywnej strona sieci Web omija zwyk³y proces pobierania pliku, wykorzystuj¹c funkcjê Pobieranie kodu internetowego. Pobieranie kodu internetowego to funkcja programu Internet Explorer, która umo¿liwia stronom sieci Web automatyczne pobieranie formantów ActiveX i innych obiektów kodu macierzystego. Pliki uzyskane za poœrednictwem funkcji Pobieranie kodu internetowego przechodz¹ przez strukturê zabezpieczeñ ActiveX, któr¹ mo¿na sterowaæ za pomoc¹ opcji zabezpieczeñ.

1. Jeœli „plik wykonywalny” nie jest elementem nadaj¹cym siê do podpisania (exe), na przyk³ad jest to plik bat, to musi zostaæ spakowany w pliku cab razem z plikiem INF w nastêpuj¹cej postaci:

   [version]
      signature="$CHICAGO$"
      AdvancedINF=2.0
   [Add.Code]
      plik.zzz=plik.zzz
   [plik.zzz]
      clsid={15589FA1-C456-11CE-BF01-00AA0055595A}
      FileVersion=1,0,0,0
      hook=zzzinstaller
   [zzzinstaller]
      run=%EXTRACT_DIR%\plik.zzz
   						

   Nazwê plik.zzz powy¿ej nale¿y zast¹piæ nazw¹ pliku wykonywalnego, który ma zostaæ uruchomiony.
   
   Aby uzyskaæ wiêcej informacji na temat pakowania pliku cab, odwiedŸ nastêpuj¹c¹ witrynê us³ugi MSDN (Microsoft Developer Network) w sieci Web:
   http://msdn.microsoft.com/workshop/delivery/download/tutorials/button_download.asp

   (http://msdn.microsoft.com/workshop/delivery/download/tutorials/button_download.asp)
2. Upewnij siê, ¿e plik exe (lub cab) jest podpisany kodem. Jeœli plik exe nie jest podpisany, mo¿na go podpisaæ za pomoc¹ narzêdzi CryptoAPI Authenticode Code Signing. Aby uzyskaæ wiêcej informacji, zapoznaj siê z dokumentacj¹ interfejsu CryptoAPI w zestawie MSDN Platform SDK, w czêœci „Security”.
   
   Ze wzglêdów bezpieczeñstwa proces podpisywania dla organizacji powinien przeprowadziæ centralny urz¹d, któremu ufa ca³a organizacja. Podpisywanie kodem wymaga albo nabycia kosztownych certyfikatów od zewnêtrznych dostawców, takich jak firma VeriSign, albo utrzymywania w intranecie serwera certyfikatów, takiego jak Microsoft Certificate Server.
3. Nastêpuj¹cej prostej strony mo¿na u¿yæ jako wskazówki pomocnej w utworzeniu ³¹cza i skryptu, które s¹ niezbêdne do uruchomienia podpisanego kodu bez wyœwietlania monitu:

   <HTML><HEAD><TITLE>Strona wykonywalnych ³¹czy</TITLE></HEAD>
   <BODY>
   <BR/>
   
   <!-- hiper³¹cze u¿ywa centralnej funkcji skryptu, zwanej linkit() -->
   <A HREF="" onclick="return linkit('podpisany_plik_testowy.exe');">
   SIGNED-CLOCK.EXE</A>
   
   <SCRIPT>
   // funkcja linkit do³¹cza nazwê pliku do zawartoœci HTML i umieszcza j¹ w ramce iframe
   function linkit(nazwa_pliku)
   {
      strpagestart = "<HTML><HEAD></HEAD><BODY><OBJECT CLASSID=" +
         "'CLSID:15589FA1-C456-11CE-BF01-00AA0055595A' CODEBASE='";
      strpageend = "'></OBJECT></BODY></HTML>";
      runnerwin.document.open();
      runnerwin.document.write(strpagestart + nazwa_pliku + strpageend);
      window.status = "Gotowe.";
      return false;  // zatrzymanie hiper³¹cza i pozostanie na tej stronie
   }
   </SCRIPT>
   
   <!-- ukryta ramka iframe u¿ywana do wstawienia zawartoœci html -->
   <IFRAME ID=runnerwin WIDTH=0 HEIGHT=0 SRC="about:blank"></IFRAME><BR/>
   
   </BODY></HTML>
   					

Produkty innych firm omówione w tym artykule s¹ wytwarzane przez producentów niezale¿nych od firmy Microsoft. Firma Microsoft nie udziela ¿adnych gwarancji, dorozumianych ani ¿adnego innego rodzaju, odnoœnie do wydajnoœci lub niezawodnoœci tych produktów.