Comment intégrer en toute sécurité n'importe quel fichier flash (swf) ?
https://stackoverflow.com/questions/43992
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je souhaite permettre à mes utilisateurs d'intégrer leurs propres animations Flash dans leurs publications.Habituellement, le fichier lui-même est hébergé sur un site d’hébergement d’images gratuit.Je ne chargerais pas réellement le flash à moins que l'utilisateur ne clique sur un bouton pour jouer (afin que rien ne soit lu automatiquement lors du chargement de la page).Je sais que les gens peuvent faire des conneries vraiment ennuyeuses en flash, mais je ne trouve aucune information sur le potentiel sérieux dommages qu'une application flash pourrait causer au spectateur.
Est-il dangereux d'intégrer n'importe quel fichier flash provenant d'Internet ?Si tel est le cas, comment puis-je permettre aux utilisateurs d’intégrer des animations innocentes tout en gardant à l’écart les applications nuisibles ?
modifier:
D'après ce que je peux comprendre, la menace la plus évidente est qu'ActionScript vous redirige vers un site malveillant.
Adobe dit vous pouvez définir AllowScriptAccess=jamais et AllowNetworking=aucun et le fichier swf ne devrait avoir accès à rien en dehors de lui-même. Est-ce que cela résoudra tous mes problèmes ?
La solution 5
Adobe dit que vous pouvez définir autoriserScriptAccess=jamais et autoriser la mise en réseau=none et le swf ne devrait avoir accès à rien en dehors de lui-même.Bien que allowNetworking ne soit disponible que dans Flash Player 9, les utilisateurs disposant de versions antérieures de Flash seraient toujours sensibles à certains exploits.
Création d'applications Web SWF plus sécurisées :Contrôles de sécurité dans le code HTML
Autres conseils
Flash a mis en place des mesures de sécurité soignées.Autoriser les utilisateurs à télécharger des fichiers swf sur votre site et à les intégrer n'est pas sûr, vous vous préparez essentiellement à une attaque XSS.
Cependant, leur permettre d’établir un lien direct ne devrait pas poser de problème.Le swf sera verrouillé sur le domaine qui l'héberge et ne sera pas autorisé à appeler des URL en dehors de cet espace.
Il sera toujours ouvert aux "liens maléfiques" (je suis sûr qu'il y a un mot approprié pour les désigner), et j'entends par là avoir des liens réguliers vers yoursite.com/admin/deleteallpages.php qu'il essaie de charger "comme" vous. .Il ne pourra cependant en aucun cas utiliser ces données, ce sera fondamentalement la même chose qu'un lien normal, et je suppose que les cms modernes sont protégés contre ce type d'attaques.
Vous pouvez obtenir la même protection en hébergeant vos flashs sur un sous-domaine différent, car flash considère cela comme un domaine complètement différent.
Lors de l'intégration de fichiers SWF provenant de sources inconnues, il est également recommandé de jeter un masque sur le chargeur afin que le fichier SWF chargé ne puisse pas occuper plus d'espace d'écran que prévu.
Pseudo-code pour le faire :
var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;
Il existe en fait plusieurs options.
Pour être totalement sûr, définissez AllowScriptAccess=never et AllowNetworking=none et le swf n'aura accès à rien en dehors de lui-même.
NOTE:AllowNetworking n'existe que dans Flash Player 9 (il a été créé en réponse à divers vers Myspace), vous devrez donc utiliser Objet SWF pour garantir que seuls les utilisateurs disposant de la bonne version de Flash Player ou mieux ont le flash chargé.
Si vous souhaitez activer des éléments tels que les vidéos YouTube, vous ne pouvez pas définir AllowNetworking sur « Aucun ».Heureusement, il existe un niveau de sécurité intermédiaire pour ce champ : « interne », qui permet au fichier SWF de communiquer avec son domaine hébergé.
Notez également qu'il est préférable de ne pas avoir de fichier crossdomain.xml sur votre site - en savoir plus sur ces dangers ici et d'autres endroits.
Voici quelques autres sites mentionnés par d'autres réponses plus détaillées :
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html
http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html
En tant que exemple Drupal a un scénario de la façon dont autoriser le contenu Flash des utilisateurs pourrait constituer un problème de sécurité.
Oui, c'est dangereux.
Il n’y a pas de moyen simple de l’autoriser.Vous pourriez avoir une liste blanche de domaines autorisant YouTube, Hulu, etc.à travers, mais la liste blanche est intrinsèquement fastidieuse - vous seriez constamment mis à jour.
