Existem dois lados nesta questão. A primeira é por que esse recurso existe, e o segundo é por que a GUI (ou o prompt de comando) não facilita a visualização e o gerenciamento do recurso.
Existe porque é útil. Várias outras plataformas suportam vários fluxos de dados por arquivo. No Mac, eles eram chamados de garfos , por exemplo. Estou razoavelmente certo de que coisas semelhantes existiram no mundo do mainframe, mas não posso colocar meus dedos em nenhum exemplo explícito hoje.
No Windows moderno, ele é usado para armazenar atributos extras para um arquivo. Você pode notar que a caixa Propriedades disponível no Windows Explorer tem uma guia Resumo que, na exibição Simples (estou no Windows XP, sua milhagem será diferente em outros tipos), inclui vários campos úteis como Título, Assunto, Autor e assim por diante. Esses dados são armazenados em um fluxo alternativo, em vez de criar algum tipo de banco de dados de carro lateral para conter tudo o que seria separado do arquivo com muita facilidade.
Um fluxo alternativo também é usado para conter o marcador que diz que o arquivo veio de uma fonte de rede não confiável aplicada pelo Internet Explorer e pelo Firefox em downloads.
A questão difícil é por que não há uma interface de usuário melhor para perceber que os streams existem, e por que é possível colocar conteúdo executável neles e, pior ainda, executá-lo mais tarde. Se houver um bug e risco de segurança aqui, é isso.
Editar:
Inspirado por um comentário para outra resposta, aqui está uma maneira de descobrir se sua proteção antivírus e / ou antimalware está ciente de fluxos alternativos.
Obtenha uma cópia do arquivo de teste da EICAR . São 68 bytes de texto ASCII que também são executáveis x86 válidos. Embora completamente inofensivo, o setor de antivírus concordou em ser detectado como se fosse um vírus real. Os criadores pensaram que testar software AV com um vírus real seria um pouco demais como testar o alarme de incêndio acendendo a lixeira em chamas ...
O arquivo EICAR é:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Salve-o com a extensão .COM
e ele será executado (a menos que seu AV esteja prestando atenção) e imprima uma saudação.
Seria informativo salvá-lo em um fluxo de dados alternativo e executar uma verificação ...