¿Cómo incrustar de forma segura cualquier archivo flash (swf)?
https://stackoverflow.com/questions/43992
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Quiero permitir que mis usuarios incrusten sus propias animaciones Flash en sus publicaciones.Por lo general, el archivo real se aloja en algún sitio de alojamiento de imágenes gratuito.En realidad, no cargaría el flash a menos que el usuario hiciera clic en un botón para reproducir (para que nada se reproduzca automáticamente al cargar la página).Sé que la gente puede hacer cosas realmente molestas en flash, pero no puedo encontrar ninguna información sobre posibles grave daño que una aplicación flash podría causar al espectador.
¿Es peligroso incrustar cualquier archivo flash de Internet?Si es así, ¿cómo puedo permitir que los usuarios incrusten animaciones inocentes y al mismo tiempo mantener alejadas las aplicaciones dañinas?
editar:
Por lo que puedo deducir, la amenaza más obvia es que ActionScript te redirija a un sitio malicioso.
Adobe dice puedes configurar permitirScriptAccess=nunca y permitirRedes=ninguno y el swf no debería tener acceso a nada fuera de sí mismo. ¿Esto resolverá todos mis problemas?
Solución 5
Adobe dice que puedes configurar permitir acceso a script=nunca y permitirRedes=none y el swf no debería tener acceso a nada fuera de sí mismo.Aunque enableNetworking solo está en Flash Player 9, los usuarios con versiones anteriores de Flash aún serían susceptibles a algunos exploits.
Creación de aplicaciones web SWF más seguras:Controles de seguridad dentro del código HTML
Otros consejos
Flash cuenta con algunas medidas de seguridad interesantes.Permitir que los usuarios carguen archivos SWF en su sitio e incrustarlos no es seguro; básicamente se está preparando para un ataque XSS.
Sin embargo, permitirles conectarse no debería ser un problema.El swf estará bloqueado en el dominio que lo aloja y no se le permitirá llamar a direcciones URL fuera de ese espacio.
Seguirá estando abierto a "enlaces malignos" (estoy seguro de que hay una palabra adecuada para ellos), y con esto me refiero a tener enlaces regulares a yoursite.com/admin/deleteallpages.php que intenta cargar "como" usted. .Sin embargo, no podrá utilizar estos datos de ninguna manera, básicamente será lo mismo que un enlace normal y supongo que los cms modernos están protegidos contra ese tipo de ataques.
Podría obtener la misma protección alojando sus flashes en un subdominio diferente, ya que Flash lo considera igual que un dominio completamente diferente.
Al incrustar archivos SWF de fuentes desconocidas, también es una buena práctica colocar una máscara en el cargador para que el SWF cargado no pueda ocupar más espacio en pantalla del esperado.
Pseudocódigo para hacerlo:
var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;
En realidad, hay más de una opción.
Para estar totalmente seguro, configure enableScriptAccess=never y enableNetworking=none y el swf no tendrá acceso a nada fuera de sí mismo.
NOTA:permitirNetworking sólo está en Flash Player 9 (fue creado en respuesta a varios gusanos de myspace), por lo que necesitarás usar Objeto SWF para asegurar que sólo los usuarios con la versión correcta de Flash Player o mejor tengan el flash cargado.
Sin embargo, si desea habilitar cosas como videos de YouTube, no puede configurar enableNetworking en "ninguno".Afortunadamente, existe un nivel intermedio de seguridad para este campo: "interno", que permite al SWF comunicarse con su dominio alojado.
También tenga en cuenta que es mejor que no tenga un archivo crossdomain.xml en su sitio; lea más sobre esos peligros. aquí y otros lugares.
Aquí hay algunos otros sitios que se mencionan en otras respuestas que entran en más detalles:
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html
http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html
como un ejemplo Drupal tiene un escenario de cómo permitir contenido flash de los usuarios podría ser un problema de seguridad.
Sí, no es seguro.
No hay una manera fácil de permitirlo.Podrías tener una lista blanca de dominios que permitiera YouTube, Hulu, etc.a través, pero la inclusión en la lista blanca es intrínsecamente laboriosa: estarías actualizándote constantemente.
