Имена программ в обработчиках типов файлов должны быть полными

Это перевод Program names in file type handlers need to be fully-qualified. Автор: Реймонд Чен.

Многие люди не замечают этого, но в Windows XP SP 2 было сделано изменение в требованиях для обработчиков типов файлов: пути к программам теперь должны быть заданы полностью, если программа находится вне каталога Windows или System.

Причина: безопасность с лёгким налётом предсказуемости.

Безопасность - потому что одним из мест, где функция SearchPath ищет исполняемый файл, является текущий каталог. И она смотрит текущий каталог до проверки путей в PATH. Это означает, что кто-то может организовать атаку созданием файла, скажем, "Super secret information.txt" и созданием скрытого файла NOTEPAD.EXE в том же самом каталоге. Жертва скажет: "Ого, посмотри-ка, супер-секретная информация, давай-ка заценим" - и когда она дважды щёлкает по текстовому файлу, запуститься троян NOTEPAD.EXE из текущего каталога, вместо программы Блокнот из папки Windows. Требование на полное (абсолютное) имя файла устраняет этот тип атак.

Предсказуемость - потому что содержимое переменной окружения PATH может меняться от процесса к процессу. Соответственно, относительный путь может быть разрешён в разные программы -смотря по тому, кто спрашивает. Это означает, что приходится решать проблемы вроде "Всё работает, когда я дважды щёлкаю в Проводнике, но не когда я запускаю из .bat-файла".