今天在lake2的专栏里看到一贴,原文如下:
“
“
.net暗藏杀机?
有一回写了个VB.net的小程序,拿去放在空间上,然后用IE访问它(http://xxxx/x.exe)没想到程序居然直接运行了。原来当你的系统装了.net framework之后IE遇到.net程序就会自动执行而不是下载它。
这里就存在一个安全隐患,如果我放的是一个恶意的.net程序呢?先要来看看执行的权限。我写了一个测试用的VB.net程序,你可以点这个链接执行它。没有恶意的,只是弹出一个窗体(普通权限)还有添加一个名为test的普通用户(管理员权限)。
经过我自己和邪恶八进制论坛的几个兄弟测试,发现对于早期的.net版本将会直接完全执行,而.net framework SP1会弹出安全异常并询问是否继续,继续的话弹出窗体而不会添加用户。可见MS已经修复这个默认设置问题(也欢迎装有.net framework的CSDN网友测试一下,回复告知结果,不胜感谢!)。但是还是存在直接执行exe的问题,也就还可能存在安全隐患。
微软自称2003安全性高,呵呵,可惜可惜。存在问题的赶快打补丁吧
”
感谢lake2的分享精神。原文地址:http://tb.blog.csdn.net/TrackBack.aspx?PostId=430235
============
我试了一下,的确如其所说,电脑环境是win2K、IE6、net1.1
不过,有提示框,问是否继续执行。
在同环境下,我用FireFox来试,则提示,是下载(这是其默认选项)还是执行,在这一点上来看FireFox是比IE作得要好。
不知MS让IE默认执行,是否有其他更深远的图谋。