5

ユーザーが独自の Flash アニメーションを投稿に埋め込めるようにしたいと考えています。通常、実際のファイルは無料の画像ホスティング サイトでホストされています。ユーザーがボタンをクリックして再生しない限り、実際にはフラッシュをロードしません(ページのロード時に何も自動再生されないようにします)。人々がフラッシュで本当に迷惑ながらくたを作ることができることは知っていますが、フラッシュアプ​​リが視聴者に与える可能性のある重大な損害についての情報は見つかりません.

インターネットから任意のフラッシュ ファイルを埋め込むのは危険ですか? もしそうなら、ユーザーに無害なアニメーションを埋め込ませながら、有害なアプリを締め出すにはどうすればよいでしょうか?

編集:

私が収集できる限り、最も明白な脅威は、actionscript が悪意のあるサイトにリダイレクトすることです。

Adobeによると、 allowScriptAccess=neverおよびallowNetworking=noneを設定でき、swf はそれ自体の外部にアクセスできないようにする必要があります。 これですべての問題が解決しますか?

4

6 に答える 6

3

不明なソースからのSWFを埋め込む場合は、ロードされたSWFが予想よりも多くの画面領域を占有しないように、ローダーにマスクをスローすることもベストプラクティスです。

そうするための擬似コード:

var maskSpr : Sprite = new Sprite();
maskSpr.graphics.beginFill();
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight);
maskSpr.graphics.endFill();
myLdr.mask = maskSpr;
于 2008-09-09T14:37:39.267 に答える
3

Flash にはきちんとしたセキュリティ対策が施されています。ユーザーが自分のサイトに swf をアップロードして埋め込むことを許可することは安全ではありません。基本的に、XSS 攻撃に備えることになります。

ただし、ホットリンクを許可しても問題ありません。swf は、それをホストしているドメインにロックされ、その領域外の URL を呼び出すことはできません。

それはまだ「悪意のあるリンク」に対して開かれています(それらに適切な言葉があると確信しています)。 . ただし、このデータを何らかの方法で使用することはできません。基本的には通常のリンクと同じであり、最新の cms はそのタイプの攻撃から保護されていると思います。

フラッシュはこれを完全に異なるドメインと同じと見なすため、別のサブドメインでフラッシュをホストすることで同じ保護を得ることができます.

于 2008-09-04T20:00:31.347 に答える
2

実際には複数のオプションがあります。

完全に安全にするために、allowScriptAccess=never と allowNetworking=none を設定すると、swf はそれ自体の外部にアクセスできなくなります。

注: allowNetworking は Flash Player 9 (さまざまな myspace ワームに対応して作成されたもの) にのみ存在するため、 SWF オブジェクトを使用して、適切なバージョンの Flash Player またはそれ以上のバージョンのユーザーだけが Flash をロードできるようにする必要があります。

ただし、YouTube 動画などを有効にしたい場合は、allowNetworking を「none」に設定することはできません。幸いなことに、このフィールドには中間レベルのセキュリティがあります。これは、SWF がホストされているドメインと通信できるようにする「内部」です。

また、サイトに crossdomain.xml ファイルを置かない方がよいことにも注意してください。これらの危険性については、こちらや他の場所を参照してください。

以下は、より詳細な他の回答で言及されている他のサイトです。

http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html

http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html

于 2009-05-12T05:50:02.550 に答える
1

Adobeによれば、 allowScriptAccess =neverおよびallowNetworking =noneを設定でき、swfはそれ自体の外部にアクセスできないようにする必要があります。allowNetworkingはFlashPlayer9にのみ存在するため、以前のバージョンのFlashを使用しているユーザーは、依然として一部のエクスプロイトの影響を受けやすくなっています。

より安全なSWFWebアプリケーションの作成:HTMLコード内のセキュリティ制御

SWFコンテンツをHTMLから制限する方法

于 2008-09-08T23:51:04.047 に答える
1

例として、Drupal には、ユーザーからのフラッシュ コンテンツを許可することがセキュリティ上の問題になる可能性があるというシナリオがあります。

于 2008-09-04T15:36:27.517 に答える
0

はい、安全ではありません。

簡単に許可する方法はありません。YouTube や Hulu などを許可するドメイン ホワイトリストを作成することもできますが、ホワイトリスト作成は本質的に骨の折れる作業であり、常に更新する必要があります。

于 2008-09-04T15:17:29.280 に答える