7Zip: maggiore sicurezza con il supporto per il flag Mark-of-the-Web e la Visualizzazione protetta di Office

Windows integra già il supporto per gli archivi Zip compressi: in un altro articolo abbiamo visto come aprire e gestire i file Zip.
Il vantaggio di un programma come 7Zip, nato nel 1999 e ancora oggi popolarissimo, è che supporta molti altri formati consentendo anche la protezione degli archivi e l’applicazione della cifratura.

Disponibile nelle versioni a 64 e 32 bit per la piattaforma x86, 7Zip è compatibile anche con i SoC ARM ed è scaricabile nelle release per Windows (sono supportati anche i sistemi operativi Microsoft più vecchi) e Linux.

7Zip supporta Mark-of-the-Web (MOTW) e fa amicizia con la Visualizzazione protetta

Uno dei grandi limiti di 7Zip era il fatto di non tenere in considerazione la provenienza di un file al momento della creazione di un archivio compresso.

Microsoft ha introdotto molto tempo fa il flag MOTW (Mark-of-the-Web) in Windows: esso specifica se un file è stato scaricato dalla rete Internet o comunque proviene da dispositivi remoti.
Il meccanismo è alla base, ad esempio, della Visualizzazione protetta di Office e di altre tecnologie per la protezione del sistema. Quando si fa doppio clic su un documento proveniente da sistemi remoti, questo viene aperto in sola lettura con qualunque programma della suite Microsoft Office e comunque viene gestito in una speciale modalità (“protetta”, appunto) che evita il caricamento di qualunque componente potenzialmente dannoso.

Abbiamo visto che nel caso di tutte le versioni di 7Zip antecedenti la 22.00, estraendo il contenuto di un archivio compresso i documenti superavano la Visualizzazione protetta di Office e nessun messaggio di allerta veniva proposto agli utenti.

Con la pubblicazione di 7Zip 22.00 l’ideatore e storico sviluppatore del programma, Igor Pavlov, ha finalmente aggiunto il supporto per il flag Mark-of-the-Web, peraltro richiesto a gran voce dagli utenti e da alcune società attive nel campo della sicurezza informatica.

Va detto che per impostazione predefinita 7Zip 22.00 continua a non tenere conto del flag e a non inserire tale informazione nel contenuto degli archivi compressi. Pavlov non ha nascosto la sua ritrosia nel supportare il flag Mark-of-the-Web, ritenuto causa di un eccessivo overhead.

Per fare in modo che la provenienza dei file venga annotata per ciascun elemento inserito in un archivio compresso con 7Zip, d’ora in avanti basta cliccare sul menu Strumenti, Opzioni, selezionare la scheda 7-Zip quindi configurare l’impostazione Propagate Zone.Id stream. Come si vede in figura è possibile scegliere se aggiungere il flag a tutti i file oppure solo ai documenti in formato Office.

Con questa impostazione abilitata scaricando un archivio ed estraendo i file in esso contenuti il flag Mark-of-the-Web si propagherà anche ai file estratti. Una misura di sicurezza aggiuntiva che fa sì che Windows chieda conferma prima di aprire i file scaricati da Internet e che porta all’attivazione automatica della Visualizzazione protetta in Office.