Internet Explorer تنفيذ الملفات من خلال ارتباط تشعبي ومربع الحوار "تنزيل الملف" في برنامج

مقدمة

العديد من مواقع ويب، وبشكل خاص في الشبكات الداخلية للشركات، تحتوي على ارتباطات تشعبية إلى الملفات التي يحتاجها المستخدم ليتم تنفيذها على النظام المحلي. يمنع Internet Explorer لأسباب أمنية واضحة، أي إجراء ارتباط تشعبي تلقائياً تشغيل أي القابل للتنفيذ الذي تم تنزيله أو الملفات الأخرى المحتمل أن تكون خطرة دون عرض بعض أشكال موجه مربع الحوار للمستخدم.

في هذه الحالات، مربع الحوار تحميل ملف لا يمكن الوقاية منها بأي طريقة. ويتضمن ذلك استخدام علامات HTML، برنامج نصي في الصفحة استضافة عنصر التحكم WebBrowser ، وتغيير خيارات منطقة الأمان.

لسوء الحظ، يمكن أن يكون مربع الحوار هذا تعطيلا لواجهة المستندة إلى ويب التي تعتمد على هذه الأنواع من الارتباطات تبسيط استخدام الملفات القابلة للتنفيذ التي تم تخزينها على ملقم ويب. تتناول هذه المقالة طريقتين الأمن بديلة لتنفيذ الملفات من خلال ارتباط تشعبي تلقائياً.

مزيد من المعلومات

يعرض Internet Explorer مربع الحوار تحميل ملف ، لسببين أساسيين: السلامة والاختيار. أن يكون أمنا، يجب تنفيذ المستعرض ابدأ خطرة ملف على نظام المستخدم تلقائياً دون تدخل المستخدم المحتملة. علاوة على ذلك، مواقع ويب عادة استخدام ارتباطات للملفات القابلة للتنفيذ بنوايا مختلفة اثنين: الموقع تعتزم للمستخدم أما تنفيذ الملف المرتبط أو حفظه. لسوء الحظ، لا يوجد شيء في مواصفات HTML لعلامة الارتساء (< A >) أو أي الحالي طراز كائن البرمجة النصية توفر وسيلة لموقع ويب للإشارة إلى الذي يكون مطلوباً لارتباط معين. وبالتالي، يقع عبء اختيار المستخدم. يجب المستخدم أن يقرر ما إذا كانوا يرغبون في تشغيل الملف أو حفظه.

Internet Explorer يقرر ما إذا كان سيتم عرض مربع الحوار تحميل ملف ، أساسا عن طريق التحقق من ملحق اسم الملف والبحث في التسجيل لتطبيق الذي يقوم بقراءة هذا الملف. لمعظم أنواع الملفات، المستخدم إلغاء تحديد الخيار السؤال دوماً قبل فتح هذا النوع من الملفات في مربع الحوار، تمنح الإذن لبرنامج Internet Explorer حتى لا يتم عرض مربع الحوار في المستقبل لهذه أنواع ملفات معينة. المستخدمين أيضا تغيير هذا الإعداد في مربع الحوار تحرير أنواع الملفات يمكن الوصول إليها من shell خيارات المجلد بعكس خانة الاختيار تأكيد الفتح بعد التحميل .

ومع ذلك، يحتوي Internet Explorer على قائمة ملحقات أسماء الملفات التي من طبيعتها لكنها معرفة مسبقاً ومضمنة. تتوافق هذه الملحقات للملفات التنفيذية العامة وأنواع أخرى من الملفات التي لديها القدرة على إلحاق الضرر بالجهاز الخاص بالمستخدم دون ضمانات أمنية مناسبة. لا يمكن منع مربع الحوار تحميل ملف ، لأي ملفات من هذه الأنواع. الرمادي الخيار السؤال دوماً قبل فتح هذا النوع من الملفات في مربع الحوار، ولن تتمكن من تحديده. يكون التالي قائمة ملحقات الملفات لأنواع الملفات هذه.
.ade.csh.lnk.mda.pif.vb
.adp.exe.mad.mdb.prf.vbe
.app.fxp.maf.mde.prg.vbs
.asp.hlp.mag.mdt.pst.vsd
.bas.hta.mam.mdw.reg.vsmacros
.bat.inf.maq.mdz.scf.vss
.cer.ins.mar.msc.scr.vst
.chm.isp.mas.msi.sct.vsw
.cmd.its.mat.msp.shb.ws
.com.js.mau.mst.shs.wsc
.cpl.jse.mav.ops.tmp.wsf
.crt.ksh.maw.pcd.url.wsh
كاتفاقية، تشير هذه المادة إلى أي من هذه الأنواع من الملفات كملفات "القابلة للتنفيذ".



أطلع على السيناريو لموقع ويب إنترانت الشركة بسيط يحتوي على قائمة من الارتباطات القابلة للتنفيذ على صفحة ويب مألوف الآن. الارتباطات مصممة ليتم تحميلها وتشغيلها مباشرة. نظراً لأن الملفات التنفيذية على الأرجح تكفلها شركة آمنة (حسنا، أمن تماما مثل أي برنامج الكمبيوتر النموذجية)، يمكن أن تكون مملة جداً أن يكون المستخدم مرارا وتكرارا التعامل مع مربع الحوار تحميل ملف ، خاصة إذا تم استخدام هذه الصفحة بشكل يومي.

حتى إذا تم تسجيل الملفات القابلة للتنفيذ والموقع موثوق به من قبل المستخدم، سيعرض Internet Explorer لا يزال مربع الحوار تنزيل الملف . أسوأ حتى الآن لكتاب ويب التعساء، الارتباطات التشعبية Windows UNC-"\\server\share" الارتباطات التشعبية التي تتجاوز ملقم ويب-تخضع ظلم نفسه.

للشبكات الداخلية للشركات، هناك بديل للارتباطات التشعبية الخالصة تشير هذه المقالة إلى ربط IFRAME. لا يمكن استخدام هذا الأسلوب مواقع إنترنت لكن استخدام أسلوب تشير هذه المقالة إلى "الإنترنت تنزيل التعليمات البرمجية" ربط. (الأسلوب الأخير يتوفر للمؤسسات وجدا.)

ملاحظة: في مستويات الأمان الافتراضية، كلتا الطريقتين لا يزال يظهر الأمن مربعات الحوار. عكس مزعجة تحميل ملف مربع الحوار، رغم ذلك، مربع حوار أمان هذه كلها يمكن السيطرة عليها من خلال خيارات الأمان القياسية المستندة إلى مناطق. لربط التقنية IFRAME، مربع الحوار الذي قد يظهر يقرأ "تنفيذ أوامر نظام على هذا العنصر قد يكون غير أمن..."، ويتم التحكم بخيار الأمان المخصصة بدء تشغيل البرامج والملفات في IFRAME. رمز إنترنت تحميل التقنية ربط مربع الحوار الذي قد يظهر ما يلي "تريد تثبيت وتشغيل..." ويتم التحكم بالأمان المخصص خيار تحميل عناصر التحكم ActiveX الموقعة.

إذا كنت تستخدم التقنيات في هذه المقالة في بيئة إنترانت، ينصح بشدة الموافقة على هذه التغييرات على الإعدادات وتغييرها لكافة المستخدمين لموقع ويب من قبل مسؤولي الشركة. توفر مجموعة إدارة Internet Explorer (IEAK) إليه سهلة للمسؤولين بالتحكم وإعدادات المستعرض بث مثل هذه. لمزيد من المعلومات، قم بزيارة موقع Microsoft TechNet على ويب التالي:مواقع إنترنت العامة يجب أن لا يقوم المستخدمون بتغيير أية إعدادات أمان لعرض موقع ويب الخاص بهم. بدلاً من ذلك، يجب طلب المواقع التي تتطلب تغيير الأمان المستخدم إضافة الموقع إلى قائمة "المواقع الموثوق بها" في صفحة خصائص الأمان خيارات إنترنت . هذا الموقع محدد ثم ستعمل تحت منخفض ما يكفي من الأمن ستعمل دون المطالبة بكلتا الطريقتين في هذه المقالة.

ربط IFRAME

في هذا البديل، يستغل صفحة ويب في Internet Explorer إمكانية عرض طرق عرض القائمة ملف نمط مستكشف داخل إطارات (< IFRAME >) عائمة. اتبع هذه الخطوات:
  1. نقل الملفات إلى ملقم خاص ومشاركة الدليل على إنترانت الشركة مخصصة بالكامل الجمهور المستخدم أذونات للوصول عبر Windows UNC.
  2. إنشاء دليل منفصل لكل ملف قابل للتنفيذ ونسخ الملفات في الدلائل. يجب أن يكون الدلائل الفارغة باستثناء ملف تنفيذي واحد.
  3. حيثما قد تم استخدام ارتباط تشعبي للتنفيذ، تتضمن HTML بالشكل التالي:
    Click on the icon in the following window to run this very special program automatically without annoying dialog boxes:

    <IFRAME SRC="\\server\share\directory"></IFRAME>

    لاحظ أن التعليمات البرمجية ل HTML يشير إلى الدليل الذي كان الملف، لا الملف نفسه.
يظهر دليل الملف المحدد في طريقة عرض ملف نمط مستكشف. عندما ينقر المستخدم فوق الرمز في طريقة العرض، يتم تنفيذ الملف كما لو كان المستخدم بالنقر فوق رمز الملف في نافذة "مستكشف Windows" تقليدية.

تنزيل التعليمات البرمجية الإنترنت الربط

في هذا البديل معقدة، يتجاوز صفحة ويب عادية عملية "تنزيل ملف" باستخدام "الإنترنت تنزيل التعليمات البرمجية". يتم "تحميل التعليمات البرمجية إنترنت" ميزة Internet Explorer صفحات ويب تلقائياً تنزيل عناصر التحكم ActiveX وكائنات تعليمة برمجية أصلية أخرى تسمح. الملفات التي تم الحصول عليها عن طريق "الإنترنت تنزيل التعليمات البرمجية" تمر عبر إطار أمان ActiveX، وقابل للتحكم بخيارات الأمان.

  1. لم يكن "ملف قابل للتنفيذ" PE القابلة (.exe) مثل ملف.bat، ثم الملف يجب أن تكون حزم في ملف.cab مع ملف المعلومات INF الشكل التالي.
    [version]   signature="$CHICAGO$"
    AdvancedINF=2.0
    [Add.Code]
    file.zzz=file.zzz
    [file.zzz]
    clsid={15589FA1-C456-11CE-BF01-00AA0055595A}
    FileVersion=1,0,0,0
    hook=zzzinstaller
    [zzzinstaller]
    run=%EXTRACT_DIR%\file.zzz

    استبدل الملف القابل للتنفيذ تشغيل مثيل File.zzz أعلاه.

    لمزيد من المعلومات حول كيفية حزم ملف.cab، قم بزيارة موقع شبكة مطوري Microsoft (MSDN) التالي على الويب:
  2. تأكد من أن.exe (أو.cab) توقيع التعليمات البرمجية. إذا لم يتم توقيع.exe، يمكن أن يتم ذلك باستخدام أدوات توقيع رمز المصادقة CryptoAPI. أرجع إلى وثائق CryptoAPI في MSDN Platform SDK تحت عنوان "الأمن" لمزيد من المعلومات.

    لأسباب تتعلق بالأمان، عملية التوقيع على التعليمات البرمجية لمؤسسة هو يفضل بسلطة مركزية موثوق بها من قبل المؤسسة بأكملها. توقيع التعليمات البرمجية تتطلب أما شراء شهادات المكلفة من الموردين الخارجيين مثل VeriSign أو الحفاظ على ملقم الشهادات مثل Microsoft Certificate Server على الإنترانت.
  3. استخدم هذه الصفحة المثال كمبدأ توجيهي للارتباط والضرورية لتشغيل التعليمات البرمجية الموقعة دون مطالبة البرنامج النصي:
    <HTML><HEAD><TITLE>Page of executable links</TITLE></HEAD><BODY>
    <BR/>

    <!-- hyperlink uses central script function called linkit() -->
    <A HREF="" onclick="return linkit('signed-testfile.exe');">
    SIGNED-CLOCK.EXE</A>

    <SCRIPT>
    // linkit puts filename into HTML content and spews it into iframe
    function linkit(filename)
    {
    strpagestart = "<HTML><HEAD></HEAD><BODY><OBJECT CLASSID=" +
    "'CLSID:15589FA1-C456-11CE-BF01-00AA0055595A' CODEBASE='";
    strpageend = "'></OBJECT></BODY></HTML>";
    runnerwin.document.open();
    runnerwin.document.write(strpagestart + filename + strpageend);
    window.status = "Done.";
    return false; // stop hyperlink and stay on this page
    }
    </SCRIPT>

    <!-- hidden iframe used for inserting html content -->
    <IFRAME ID=runnerwin WIDTH=0 HEIGHT=0 SRC="about:blank"></IFRAME><BR/>

    </BODY></HTML>

منتجات الجهات الأخرى المذكورة في هذه المقالة تابعة لشركات مستقلة عن Microsoft. لا تقدم Microsoft أي ضمان، سواء ضمنياً أو صريحا، بخصوص أداء هذه المنتجات أو كفائتها.

خصائص

رقم الموضوع: 232077 - آخر مراجعة: 09‏/01‏/2017 - المراجعة: 1

تعليقات