Wie kann ich eine Flash-Datei (swf) sicher einbetten?
https://stackoverflow.com/questions/43992
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich möchte meinen Benutzern ermöglichen, ihre eigenen Flash-Animationen in ihre Beiträge einzubetten.Normalerweise wird die eigentliche Datei auf einer kostenlosen Bild-Hosting-Site gehostet.Ich würde den Flash nicht wirklich laden, es sei denn, der Benutzer klickt zum Abspielen auf eine Schaltfläche (damit beim Laden der Seite nichts automatisch abgespielt wird).Ich weiß, dass Leute in Flash wirklich nervigen Mist machen können, aber ich kann keine Informationen über das Potenzial finden ernst Schäden, die eine Flash-App dem Betrachter zufügen könnte.
Ist es unsicher, irgendeine Flash-Datei aus dem Internet einzubetten?Wenn ja, wie kann ich Benutzern das Einbetten harmloser Animationen ermöglichen und dennoch schädliche Apps fernhalten?
bearbeiten:
Soweit ich das beurteilen kann, besteht die offensichtlichste Bedrohung darin, dass Actionscript Sie auf eine bösartige Website umleitet.
Adobe sagt kannst du einstellen AllowScriptAccess=nie Und AllowNetworking=none und die SWF-Datei sollte keinen Zugriff auf irgendetwas außerhalb ihrer selbst haben. Wird das alle meine Probleme lösen?
Lösung 5
Adobe sagt, man kann es einstellen AllowScriptAccess=nie und Netzwerk zulassen=none und die SWF-Datei sollte keinen Zugriff auf irgendetwas außerhalb von sich selbst haben.Obwohl „allowNetworking“ nur in Flash Player 9 verfügbar ist, wären Benutzer mit früheren Versionen von Flash immer noch anfällig für einige Exploits.
Erstellen sichererer SWF-Webanwendungen:Sicherheitskontrollen im HTML-Code
Andere Tipps
Flash verfügt über einige nette Sicherheitsmaßnahmen.Wenn Sie Benutzern das Hochladen von SWF-Dateien auf Ihre Website und deren Einbettung erlauben, ist dies unsicher. Sie bereiten sich im Grunde genommen auf einen XSS-Angriff vor.
Es sollte jedoch kein Problem sein, ihnen das Hotlinking zu erlauben.Die SWF-Datei ist an die Domäne gebunden, die sie hostet, und es ist nicht gestattet, URLs außerhalb dieses Bereichs aufzurufen.
Es wird immer noch offen für „böse Links“ sein (ich bin sicher, es gibt ein passendes Wort dafür), und damit meine ich regelmäßige Links zu yoursite.com/admin/deleteallpages.php, die es „als“ Sie zu laden versucht .Es wird jedoch nicht in der Lage sein, diese Daten in irgendeiner Weise zu verwenden, es wird im Grunde dasselbe sein wie ein normaler Link, und ich vermute, dass moderne CMS vor dieser Art von Angriffen geschützt sind.
Sie könnten den gleichen Schutz erhalten, indem Sie Ihre Flash-Speicher auf einer anderen Subdomain hosten, da Flash dies als eine völlig andere Domain betrachtet.
Beim Einbetten von SWFs aus unbekannten Quellen empfiehlt es sich außerdem, den Loader mit einer Maske zu versehen, damit die geladene SWF-Datei nicht mehr Platz auf dem Bildschirm einnehmen kann als erwartet.
Pseudocode dazu:
var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;
Es gibt tatsächlich mehr als eine Option.
Um absolut sicher zu sein, legen Sie „allowScriptAccess=never“ und „allowNetworking=none“ fest, und die SWF-Datei hat keinen Zugriff auf alles außerhalb ihrer selbst.
NOTIZ:„allowNetworking“ gibt es nur in Flash Player 9 (es wurde als Reaktion auf verschiedene Myspace-Würmer erstellt), Sie müssen es also verwenden SWF-Objekt um sicherzustellen, dass nur Benutzer mit der richtigen Flash-Player-Version oder besser den Flash geladen haben.
Wenn Sie jedoch beispielsweise YouTube-Videos aktivieren möchten, können Sie „allowNetworking“ nicht auf „none“ setzen.Glücklicherweise gibt es für dieses Feld eine mittlere Sicherheitsstufe – „intern“, die es der SWF ermöglicht, mit ihrer gehosteten Domäne zu kommunizieren.
Beachten Sie auch, dass Sie besser keine Datei „crossdomain.xml“ auf Ihrer Website haben sollten – lesen Sie mehr über diese Gefahren Hier und andere orte.
Hier sind einige andere Websites, die in anderen Antworten erwähnt werden, die detaillierter darauf eingehen:
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html
http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html
Als Beispiel: Drupal hat ein Szenario dass das Zulassen von Flash-Inhalten von Benutzern ein Sicherheitsrisiko darstellen könnte.
Ja, es ist unsicher.
Es gibt keine einfache Möglichkeit, es zuzulassen.Sie könnten eine Domain-Whitelist haben, die YouTube, Hulu usw. zulässt.durch, aber das Whitelisting ist von Natur aus mühsam – Sie müssten ständig aktualisieren.
