Executando arquivos por hiperlink e a caixa de diálogo Download de arquivo no Internet Explorer

Muitos sites, especialmente em intranets, tem hiperlinks para arquivos que o usuário precisará executar no sistema local. Por motivos de segurança óbvia, Internet Explorer impede que qualquer ação de hiperlink sejam executados automaticamente qualquer executável baixado ou outros arquivos possivelmente perigosos sem exibir alguma forma de prompt de caixa de diálogo ao usuário.

Nessas situações, a caixa de diálogo Download de arquivo não é preventable de forma alguma. Isso inclui o uso de marcas HTML, script na página, que hospedam o controle WebBrowser e alterar opções de segurança de zona.

Infelizmente, essa caixa de diálogo pode ser interrupção a uma interface baseada na Web que utiliza esses tipos de links para simplificar o uso de arquivos executáveis armazenados no servidor Web. Este artigo descreve dois métodos de seguros alternativos para executar automaticamente arquivos por hiperlink.

Internet Explorer exibe a caixa de diálogo Download de arquivo para dois motivos principais: proteção e escolha. Para ser seguro, o navegador nunca deve executar um arquivo potencialmente perigoso no sistema do usuário automaticamente sem a intervenção do usuário possíveis. Além disso, sites tradicionalmente usou links para arquivos executáveis com dois intenções diferentes: o site planeja para o usuário ou para executar o arquivo vinculado ou salvá-lo. Infelizmente, não há nada na especificação HTML para a marca de âncora ( <a>) ou qualquer modelo de objeto script atual que fornece um meio para o site indicar que é desejado para um determinado link. Portanto, a carga de escolha é o usuário. O usuário deve decidir se desejam executar ou salvar o arquivo.

Internet Explorer decide se deve exibir a caixa de diálogo Download de arquivo principalmente por verificar a extensão do arquivo e procurando no Registro para um aplicativo que lê esse arquivo. Para a maioria dos tipos de arquivos, o usuário pode desmarque a opção Sempre perguntar antes de abrir este tipo de arquivo na caixa de diálogo, que concede permissão para o Internet Explorer para não exibir a caixa de diálogo no futuro para esses tipos de arquivo específico. Os usuários também podem alterar essa configuração na caixa de diálogo Editar tipos de arquivo acessível a partir das Opções de pasta do shell invertendo-se a caixa de seleção Confirmar abertura após o download .

No entanto, Internet Explorer contém uma lista predefinida, embutida de extensões de arquivo que inerentemente distrusts. Essas extensões correspondem aos genéricos executáveis e outros tipos de arquivos que têm a capacidade de danificar a máquina do usuário sem as proteções de segurança adequadas. A caixa de diálogo Download de arquivo não pode ser evitada para os arquivos desses tipos. A opção Sempre perguntar antes de abrir este tipo de arquivo será ser esmaecida na caixa de diálogo e você não poderá selecioná-lo. Esta é a lista das extensões de arquivo para esses tipos de arquivo.Como uma convenção, este artigo se refere a qualquer um dos seguintes tipos de arquivos como arquivos "executáveis".

Agora, considere o cenário de um site de intranet corporativa simples que inclui uma lista de links executável em uma página da Web amigável. Os links se destinam a ser baixado e executado imediatamente. Considerando que os executáveis provavelmente garantida pela empresa para ser seguro (bem, como segurança como qualquer outro programa de computador comum), pode ser extremamente entediante para que o usuário repetidamente lidar com a caixa de diálogo Download de arquivo , especialmente se esta página é usada em uma base diária.

Mesmo se os arquivos executáveis foram assinados e o signatário é confiável para o usuário, o Internet Explorer ainda será exibida a caixa de diálogo Download de arquivo . Pior ainda para os pobre autores da Web, hiperlinks de UNC do Windows--"\\servidor\compartilhamento" hiperlinks que ignoram o servidor Web--estão sujeitos a iniquity mesmo.

Para intranets corporativas, há uma alternativa para puros hiperlinks que este artigo se refere como vinculação de IFRAME . Sites não é possível usar esse método mas podem usar o método que este artigo se refere a como vinculação de download de código de Internet . (O último método está disponível para corporações, muito.)

Observação Em níveis de segurança padrão, ambas as técnicas mostram ainda segurança a caixas de diálogo. Diferentemente importunos caixa de diálogo Download de arquivo , no entanto, todas essas caixas de diálogo segurança são controláveis pelas opções de segurança baseada em zonas padrão. Para o IFRAME vinculando técnica, a caixa de diálogo que pode aparecer lê "Executar um comando de sistema neste item pode ser inseguro..." e é controlado pela opção de segurança personalizado inicialização de programas e arquivos em um IFRAME . Para o código de Internet Download técnica de vinculação, a caixa de diálogo que pode aparecer leituras "Você deseja instalar e executar..." e é controlado pela segurança personalizada opção download de controles ActiveX assinados .

Se você usar as técnicas neste artigo em um ambiente de intranet, é altamente recomendável que essas alterações de configurações são aprovadas e alteradas para todos os usuários do site da Web por administradores corporativos. O Internet Explorer Administration Kit (IEAK) fornece um mecanismo fácil para os administradores controle e as configurações de navegador difusão, como isso. Para obter mais informações, visite o seguinte site da Microsoft TechNet:Sites da Internet públicas devem não exigir que os usuários alterar as configurações de segurança para exibir seu site. Em vez disso, sites que requerem segurança alterada devem solicitar que o usuário adicione o site à lista de "Sites confiáveis" na página de propriedades segurança Opções da Internet . Este site específico, em seguida, irá operar em baixa segurança suficiente que ambas as técnicas neste artigo funcionarão sem prompt.

Vinculação de IFRAME

Nessa alternativa, a página da Web explora a capacidade do Internet Explorer exibir exibições de lista Estilo do Explorer arquivo dentro de quadros (<iframe>) flutuante. Execute as seguintes etapas:

1. Mova os arquivos para um servidor especial, compartilhamento e diretório na intranet corporativa que todo o público de usuário tem permissões para acesso através de UNC do Windows.
2. Crie um diretório separado para cada arquivo executável e copie os arquivos para os diretórios. Os diretórios devem estar vazios, exceto para o único arquivo executável.
3. Sempre que um hiperlink para o executável seria ter sido usado, incluir HTML do seguinte formato:

   Click on the icon in the following window to run this very special 
   program automatically without annoying dialog boxes:
   
   <IFRAME SRC="\\server\share\directory"></IFRAME>
   						

   Observe que o código HTML aponta para o diretório que o arquivo está localizado no, não o próprio arquivo.

Diretório do arquivo aparece em uma exibição de arquivo de estilo do Explorer. Quando o usuário clica no ícone no modo de exibição, o arquivo é executado como se o usuário tivesse clicado no ícone do arquivo em uma janela tradicional do Windows Explorer.

Download de código de Internet vinculação

Nessa alternativa complicada, a página da Web ignora o processo de download de arquivo comum utilizando o download de código de Internet. Download de código de Internet é o recurso Internet Explorer que permite que páginas da Web para baixar automaticamente os controles ActiveX e outros objetos de código nativo. Arquivos obtidos através de download de código de Internet passam a estrutura de segurança do ActiveX, que é controlável por opções de segurança.

1. Se o "arquivo executável" não é uma PE assináveis (.exe) como um arquivo .bat, o arquivo deve ser empacotado em um arquivo .cab com um INF no seguinte formato.

   [version]
      signature="$CHICAGO$"
      AdvancedINF=2.0
   [Add.Code]
      file.zzz=file.zzz
   [file.zzz]
      clsid={15589FA1-C456-11CE-BF01-00AA0055595A}
      FileVersion=1,0,0,0
      hook=zzzinstaller
   [zzzinstaller]
      run=%EXTRACT_DIR%\file.zzz
   						

   substituir a instância do File.zzz acima com o arquivo executável a ser executado.
   
   Para obter mais informações sobre como compactar o arquivo .cab, visite o seguinte site da Web Microsoft Developer Network (MSDN):
   http://msdn.microsoft.com/en-us/library/aa741200(VS.85).aspx

   (http://msdn.microsoft.com/en-us/library/aa741200(VS.85).aspx)
2. Verifique se o .exe (ou .cab) é assinado por código. Se o .exe não foi assinado, isso pode ser feito usando ferramentas de assinatura de código do CryptoAPI Authenticode. Consulte a documentação do CryptoAPI no MSDN Platform SDK sob o título "Segurança" para obter mais informações.
   
   Por motivos de segurança, o processo de assinatura de código para uma organização melhor é manipulado por uma autoridade central que é confiável para toda a organização. Assinatura de código requer um a compra de certificados caros de fornecedores externos, como VeriSign ou a manutenção de um servidor de certificado, como o Microsoft Certificate Server na intranet.
3. Use esta página exemplo como diretriz para o link e o script necessário para iniciar o código assinado sem prompt:

   <HTML><HEAD><TITLE>Page of executable links</TITLE></HEAD>
   <BODY>
   <BR/>
   
   <!-- hyperlink uses central script function called linkit() -->
   <A HREF="" onclick="return linkit('signed-testfile.exe');">
   SIGNED-CLOCK.EXE</A>
   
   <SCRIPT>
   // linkit puts filename into HTML content and spews it into iframe
   function linkit(filename)
   {
      strpagestart = "<HTML><HEAD></HEAD><BODY><OBJECT CLASSID=" +
         "'CLSID:15589FA1-C456-11CE-BF01-00AA0055595A' CODEBASE='";
      strpageend = "'></OBJECT></BODY></HTML>";
      runnerwin.document.open();
      runnerwin.document.write(strpagestart + filename + strpageend);
      window.status = "Done.";
      return false;  // stop hyperlink and stay on this page
   }
   </SCRIPT>
   
   <!-- hidden iframe used for inserting html content -->
   <IFRAME ID=runnerwin WIDTH=0 HEIGHT=0 SRC="about:blank"></IFRAME><BR/>
   
   </BODY></HTML>
   					

Os produtos de terceiros mencionados neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.