Warum zum hackenden henker?

Warum kann ich in eine meikrosoft-excel-zelle =cmd|'/C calc'!xxx reinschreiben und beim öffnen der excel-mappe wird calc.exe ausgeführt? (Die referenz auf eine zelle ist in diesem fall völlig wirkungslos, deshalb habe ich sie durch xxx ausgetauscht.)

Und warum zum hackenden henker funkzjoniert das auch nach dem import einer CSV-datei (wisst ja, CSV ist voll sicher, da können schließlich keine fiesen makros drinsein) mit einer solchen zelle? Gut, es wird eine warnung beim öffnen/beim import angezeigt. Wir wissen alle, was anwender mit so einer warnung machen: ungelesen wegklicken, ohne dass von dieser unwillkürlichen tat auch nur ein bisschen bewusstsein zurückbleibt. Und hinterher, wenn es zu spät ist, sagen sie immer: „ich habe doch gar nichts gemacht“.

Gibt es dafür auch nur eine einzige sinnvolle anwendung, oder ist das nur eine eingebaute hintertür, damit die US-dienste kohd in einer CSV-datei verbauen und auf fremden rechnern ausführen können. Für letzteres spricht meiner meinung nach, dass diese „funkzjon“ nicht dokumentiert ist.

Hej, schön weiter überall excel verwenden, das ist voll gut. Der onkel werber hats ja gesagt, und sein stinkender bruder jornalist auch. Also muss es stimmen.

Security des tages

Benutzt hier jemand eine tabellenkalkulazjon und glaubt, der import von CSV-dateien sei in jedem fall sicher, weil das ja nur text ist und kein kohd aus der datei ausgeführt wird? Nun, das ist ein kleiner irrtum.

Ich wusste bis eben gerade wirklich nicht, dass man in CSV-dateien formeln hinterlegen kann, die excel oder guhgell schiets auch noch ausführt. Vermutlich weiß das fast niemand.

[via Fefe]