Open XML应用安全(1)宏安全
宏是通过一次单击就可以应用的命令集。它们几乎可以自动完成你在程序中执行的任何操作,甚至还可以执行你认为不可能的任务。
宏是编程,但即使你不是开发人员也可以使用它们,甚至不需要知道任何编程知识。在Office程序中可以创建的多数宏都是用Microsoft VBA (Visual Basic for Applications)语言编写的。
事实上,尽管多数宏是无害而且有益的,但宏是一个重要的安全问题。如果有人抱着恶意目的创建宏,这些宏可能包含损害你的文档或系统的破坏性代码。
对于Open XML支持的文档而言,凡是包含宏或代码的文档都会以特殊的名称保存,如Word文档的后缀名是docm,Excel工作簿的后缀名是xlsm,PPT演示文稿的后缀名是pptm,其中的字母“m”就代表了macro(宏),这样你可以很清楚地识别到当前的文档中是否有宏的存在。
另外,在默认情况下,新的Open XML文件格式不执行文档中的宏和嵌入代码,还可以快速识别和删除文档中带有的身份信息和敏感信息,如用户名、备注和文件路径等。因此,以Open XML格式保存的文档将更加安全,可以放心地与他人进行文档的共享。
以Word 2007为例,打开Word选项→信任中心→宏设置,可以看到关于宏设置的选项。如图14-22所示。
图14-22 宏安全设置
从图14-22中可以看到,默认情况下会禁用所有宏,可以更改这一设置根据实际情况。
宏在Open XML包中作为一个二进制的OLE2文件存在指定的目录中,一般情况下,遵守如下规则:
q Word: word/vbaProject.bin
q Excel: xl/vbaProject.bin
q PowerpPoint: ppt/vbaProject.bin
遗憾的是,宏并没有在Open XML的规范文档中被提及,并且OLE2文件的格式也不是公开的。下篇博客来了解什么是OLE,以及它和Office文档的关系。
----------------注:本文部分内容改编自《.NET 安全揭秘》
