Hallo Rolf,

<a href="file:////evil.example.com/killer/pwned.docx">Funny Cat Video</a>

würde dazu führen, dass dein Browser Word startet und das Dokument über das Internet auf deinen PC lädt.

nur mit sehr vielen ifs und buts. Vor allem wieder die Sache mit den ungefragten Downloads, die ich in den letzten Tagen mehrmals angesprochen habe. Selbst wenn der Zugriff auf die Ressource durchgeht (was z.B. unter Windows schon an den defaultmäßig eingestellten Beschränkungen scheitert), würden meine Browser mich dann erstmal fragen, mit welchem Programm ich die Ressource öffnen oder wo ich sie speichern will.

<a href="file:////evil.example.com/funny.lit -uninstall">Best Jokes of 2022</a>

Es scheint wohl .lit-Reader zu geben, die -uninstall als Parameter verstehen und sich dann selbst deinstallieren.

Auch das würde an der eben beschriebenen what-shall-I-do-Rückfrage scheitern.

Wie auch immer - in dem Moment, wo Du einen Dokumententyp bekommst, für den ein Filetype registriert ist, startet dein Windows Befehlprozessor und ruft die registrierte Anwendung mit dieser Datei auf. Und in dem Moment sind alle Sicherheitshürden gefallen.

Deswegen vorher schon die genannte Schranke.

Die andere Alternative ist die Bereitstellung eines Webservers, der als Proxy agiert und die Dateien über eine normale https-Leitung bereitstellt.

Das hatte ich ja schon vorgeschlagen.

Einen schönen Tag noch
 Martin