这个问题与我的帖子相关https://stackoverflow.com/questions/13721254/downloading-file-and-internet-security-issue但这更加抽象。
考虑以下:
网站“www.example.com”已添加到信任区域。
- 使用 Internet Explorer 导航到网站,下载文件(没问题)
- 以管理员身份运行应用程序,应用程序导航到该网站,下载文件(Windows Internet Explorer 阻止该网站下载)
1 和 2 有什么区别?对我来说,Internet Explorer 和应用程序都是在管理员权限下运行的。那么为什么 Internet Explorer 会阻止文件通过应用程序下载?
答案1
首先,这里的应用层增加了额外的风险。
在选项#1中修改文件本身,潜在的攻击者将需要访问您的数据结构。
在选项#2中,攻击者还可以通过修改应用程序本身来伤害你(注入它以便它向你发送错误/有害的文件),这比获得网站文件的完全访问权限要容易一些。(一般来说)
我明白你的意思。当然,这两种选择都有一定的风险,但第二种选择更容易受到黑客攻击。
最终,这归结为风险管理和计算机会。
最后,对于可执行文件,IE 应该以某种方式提供警告。
我几年前就停止使用 IE 了,所以也许我错了...尽管如此,FF 和 Chrome 仍会警告你,即使它“只是” PDF。