Antwort an „Rolf B“ verfassen

Hallo stefantaust,

https://www.webrunapps.com/

Vorsicht beim Einsatz eines solchen Tool. Ohne Whitelist reißt Du Dir ein Sicherheits-Scheunentor auf.

Dass Du nur EXEs whitelisten kannst, liegt daran, dass man nur EXEs ausführen kann. Für alles andere braucht man ein EXE, das es verarbeitet. Ein Script braucht den Kommandoprozessor.

In der Anleitung steht, wie man es macht:

cmd.exe /c x:\foo\bar\myscript.cmd

Hintergrundinfo: Was macht WebRunApps

Das steht bei MS zwar in der Beschreibung des Internet Explorers, aber es geht bspw. auch in Chrome - wobei ich gelernt habe, dass man in Chrome Strg+Enter drücken muss, wenn man (bspw zum Testen) ein custom URI scheme in der Adresszeile benutzt.

D.h. das Hexenwerk ist nicht, ein Programm anzustoßen. Das Hexenwerk besteht darin, sich kein Einfallstor für Schädlinge zu öffnen, denn dieser Handler für custom URI kann von jedem verwendet werden, von eurem Sharepoint bis hin zu i_rip_you_off.ru (Phantasie-URL). Du kannst den Zugang zum Handler das nicht für bestimmte Webseiten festlegen. Und auch der Handler selbst weiß nicht, welche Webseite ihn nutzen möchte.

Das mag bei einem Asynchronous Pluggable Protocol anders sein, aber das ist sehr eng am Internet Explorer und ich habe keine Ahnung, wie andere Browser es unterstützen.

So einen Handler kann man übrigens auch selbst schreiben. Man kann ihn sogar als CMD Datei schreiben, wenn man

C:\windows\system32\cmd.exe /c C:\dings\webrun.cmd "%1"

als command einträgt. Statt in C:\dings kann das urlhandler.cmd natürlich auch in \192.1.2.3\daten\urlhandler\webrun.cmd stehen

So ein webrun.cmd könnte minimal so aussehen:

echo URL: %1
pause

Wenn Du ein custom URI Scheme stefan registrierst hast, machst Du einen Link auf "stefan:hallo", klickst ihn, der Browser fragt ob Du den Befehlszeilenprozessor öffnen willst, und dann siehst Du

URL: stefan:hallo
Zum Fortsetzen eine Taste drücken

Den Inhalt von %1 kannst Du nun nach Belieben interpretieren und Programme starten. Ich würde empfehlen, hier nur bestimmte Schlüsselwörter zuzulassen und keine beliebigen Programmnamen. Ein unbekanntes Schlüsselwort tut dann einfach nichts. Damit hast Du das Whitelisting erledigt.

Vorsicht mit Leerstellen in URLs. Aus IE und Chrome kommt für ein Space ein %20 im URLHandler an. Aber der Firefox setzt das in eine Leerstelle um. MS warnt davor, Leerstellen und Prozentzeichen an URL Handler zu übergeben. Es löst Chaos aus.

Rolf

--
sumpsi - posui - obstruxi
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar
freiwillig, öffentlich sichtbar

Ihre Identität in einem Cookie zu speichern erlaubt es Ihnen, Ihre Beiträge zu editieren. Außerdem müssen Sie dann bei neuen Beiträgen nicht mehr die Felder Name, E-Mail und Homepage ausfüllen.

abbrechen