Come incorporare in modo sicuro qualsiasi file flash (swf)?
https://stackoverflow.com/questions/43992
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Voglio consentire ai miei utenti di incorporare le proprie animazioni Flash nei loro post.Di solito il file vero e proprio è ospitato su alcuni siti di hosting di immagini gratuiti.In realtà non caricherei il flash a meno che l'utente non facesse clic su un pulsante per riprodurre (in modo che nulla venga riprodotto automaticamente al caricamento della pagina).So che le persone possono creare delle schifezze davvero fastidiose in flash, ma non riesco a trovare alcuna informazione sul potenziale serio danni che un'app Flash potrebbe causare allo spettatore.
Non è sicuro incorporare qualsiasi file flash da Internet?In tal caso, come posso consentire agli utenti di incorporare animazioni innocue mantenendo allo stesso tempo lontane le app dannose?
modificare:
Da quello che ho capito, la minaccia più ovvia è che ActionScript ti reindirizzi a un sito dannoso.
Adobe dice puoi impostare consentireScriptAccess=mai E consentireRete=nessuno e il swf non dovrebbe avere accesso a nulla al di fuori di se stesso. Questo risolverà tutti i miei problemi?
Soluzione 5
Adobe dice che puoi impostare consentireScriptAccess=mai e consentireNetworking=none e il file swf non dovrebbe avere accesso a nulla al di fuori di se stesso.Nonostante consentNetworking sia presente solo in Flash Player 9, gli utenti con versioni precedenti di Flash sarebbero comunque vulnerabili ad alcuni exploit.
Creazione di applicazioni Web SWF più sicure:Controlli di sicurezza all'interno del codice HTML
Altri suggerimenti
Flash dispone di alcune misure di sicurezza ordinate.Consentire agli utenti di caricare swf sul tuo sito e incorporarli non è sicuro, ti stai praticamente preparando per un attacco XSS.
Tuttavia, consentire loro di collegarsi non dovrebbe essere un problema.Il file swf verrà bloccato sul dominio che lo ospita e non sarà consentito chiamare URL al di fuori di quello spazio.
Sarà comunque aperto a "link malvagi" (sono sicuro che ci sia una parola adatta per loro), e con questo intendo avere collegamenti regolari a yoursite.com/admin/deleteallpages.php che tenta di caricare "come" te .Non sarà tuttavia in grado di utilizzare questi dati in alcun modo, sarà sostanzialmente uguale a un collegamento normale e immagino che i cms moderni siano protetti da questo tipo di attacchi.
Potresti ottenere la stessa protezione ospitando i tuoi flash su un sottodominio diverso, poiché Flash lo considera come un dominio completamente diverso.
Quando si incorporano file SWF da origini sconosciute, è inoltre consigliabile applicare una maschera al caricatore in modo che il file SWF caricato non possa occupare più spazio sullo schermo del previsto.
Pseudo-codice per farlo:
var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;
In realtà esiste più di una opzione.
Per essere totalmente sicuri, impostaallowScriptAccess=never eallowNetworking=none e il file swf non avrà accesso a nulla al di fuori di se stesso.
NOTA:allowNetworking è solo in Flash Player 9 (è stato creato in risposta a vari worm myspace), quindi dovrai utilizzare Oggetto SWF per garantire che solo gli utenti con la versione flash player corretta o meglio abbiano il flash caricato.
Se desideri abilitare cose come i video di YouTube, tuttavia, non puoi impostare consenti rete su "nessuno".Fortunatamente, esiste un livello intermedio di sicurezza per questo campo, "interno", che consente all'SWF di comunicare con il dominio ospitato.
Tieni inoltre presente che è meglio non avere un file crossdomain.xml sul tuo sito: leggi di più su questi pericoli Qui e altri luoghi.
Ecco alcuni altri siti menzionati da altre risposte che vanno più in dettaglio:
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html
http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html
Come un esempio Drupal ha uno scenario di come consentire agli utenti contenuti flash possa costituire un problema di sicurezza.
Sì, non è sicuro.
Non esiste un modo semplice per permetterlo.Potresti avere una whitelist di domini che consenta YouTube, Hulu, ecc.attraverso, ma la whitelist è intrinsecamente scrupolosa: verresti costantemente aggiornato.
