問題タブ [fluorinefx]

現在、XML を使用して Flex アプリと通信する C# Web サービスがあります。データのストリーミングなどではありませんが、関連するオーバーヘッドを減らしたいと考えています。2 つの質問があります。

1)サーバーの負荷を軽減するという点で、FluorineFX や WebORB などのテクノロジーを使用するメリットはありますか? Flex クライアントはあまり違いを認識しないと思います。

2) このような技術を既存の製品に後付けするのはどれくらい簡単ですか? ゼロから始めた方が簡単ですか？

前もって感謝します。

サーバー バックエンドとしての ASP.Net とユーザー インターフェイス用の Adob​​e Flash の組み合わせは、優れた組み合わせであることがわかりました。

これまで、2 つのテクノロジー間の通信経路として Javascript を使用してきました。これはうまくいきましたが、文字列変数だけでなくオブジェクトをやり取りできるようにしたいと考えており、パフォーマンスも向上させたいと考えています。

通信に使用できる方法はいくつかあります。

• Javascript
• Web サービス (MX では適切にサポートされていますが、CS3 ではサポートされていません。CS4 については不明です)
• フラッシュリモート
• 他？

私の調査によると、Flash Remoting が最高のパフォーマンスを発揮します。

サーバーでは、リモーティング ゲートウェイ (Flash Remoting ($999 USD)、FluorineFx、WebORB、AMF.Net) を提供する必要があります。

クライアントからのリモート処理を使用する最良の方法は何ですか?

問題は、Flash リモーティング ライブラリがあまり優れていないか、十分にサポートされていないように見えることにあります。CS3 ではなく MX にあり、CS4 についてはまだわかりません。

Flex は優れたリモーティング サポートを備えているようですが、Flash でフリーフォーム UI を作成し、Flex コントロールに制限されない機能が気に入っています。Flex に Flash SWF を埋め込むという提案を見たことがありますが、別のレイヤーを導入することには消極的です。私は Flex を広範囲に使用したことがないので、ここで何かが欠けている可能性があります。

誰かがこの分野で何か経験をしたことがありますか? swf を flex に埋め込んでみる必要がありますか? それとも、CS4 は十分なリモーティング サポートを提供しますか?

ありがとう。

ボビー - それはいい考えだ。JSON でうまくいくかもしれません。

崖.マイヤーズ - 私たちはすでにサーバーでフッ素を使用しています. 問題は、クライアントで Flash (Flex ではない) を使用していること (上記を参照) と、Flash がリモート処理を十分にサポートしていないことにあります。

Fluorine FX リモーティング ライブラリを使用する ASP.NET アプリケーションがあります。Web アプリケーションが初期化されると、RTMP 接続を処理するために別のポートでソケット サーバーが開始されます。

私たちが抱えている問題は、IIS を再起動したときに、アプリケーション内の .aspx ファイルの 1 つに対して最初の HTTP 要求が行われるまで、RTMP サービスが実行を開始しないことです。

私は、ASP.NET ライフサイクルと、それが IIS にどのように結びついているかについて、次の記事を参照して読んでいます。

http://msdn.microsoft.com/en-us/library/ms178473.aspx

ライフサイクルはすべて、最初の HTTP リクエストによって初期化されるという前提に基づいているようです...

IIS の再起動時に、Fluorine とその RTMP サーバーの初期化を強制できるフックがあるかどうかは誰にもわかりませんか?

FluorineFX を使用して Flex/.Net で非常に単純なチャット アプリケーションを作成しようとしていますが、動作しません。

私のservices-config.xml:

すべて正常にコンパイルされており、送信しようとしてもエラーは発生しませんが、結果もありません。メッセージが受信されません。私は正しい道を進んでいますか？エンドポイント uri の背後にあるロジックは何ですか? どのポートを使用すればよいですか? Web.config を構成する必要がありますか? (RemotingService を有効にするfluorinefx 構成を超えていますか?) fluidine.log に応答がありません。

クライアントに Flash/Flex を使用し、サーバー側に FluorineFX (.NET で記述されていることを除いて FCS/FMS と同様) を使用してマルチプレイヤー ゲームを構築しています。私の質問は、RTMP プロトコルを介した共有オブジェクトの使用とパフォーマンスに関するものです。

基本的に、画面上にかなりの数のオブジェクトを同時に表示することを計画しています。それぞれに独自の座標、動作、ビジュアルなどがあります。同じ部屋に接続しているすべてのユーザーは、これらのオブジェクトを表示して操作できます。

ゲーム世界のすべてのオブジェクトを保持する単一の配列共有オブジェクトを使用すると、すべてのクライアント間ですべてのオブジェクトを非常に迅速に同期することが非常に簡単になりますが、パフォーマンスが高くなる可能性があり、柔軟性が失われるようです個々のオブジェクトのセキュリティになります。

または、ゲームの世界の各オブジェクトごとに異なる共有オブジェクトを使用すると、場所に基づいて誰がどのオブジェクトを取得するかについて多くの柔軟性が得られます (ネットワーク パフォーマンスを最小限に抑えるため)。そして、クライアントが移動するたびに、さまざまな共有オブジェクトに常に接続/切断するようにクライアントを設定する必要がありました。

私は RTMP に関しては専門家ではありませんが、この問題を処理するための各方法の長所と短所についての考えを持っており、状況に基づいて 2 つの概念を技術的に混合して使用できることを認識していますが、私はリモート共有オブジェクトを使用した経験があり、そこから知識を得ることができる個人を本当に探しています.

このトピックに関する経験を共有したい人はいますか?

C# クライアント (NetConnection) 用の FluorineFx を使用して別のサーバーに更新をプッシュするために、1 時間ごとに実行するコンソール アプリケーションを作成しました。それはうまく機能しますが、Charles を開いているときだけなので、何が送信されているかを確認できます。一方、Charles が閉じている場合、データは送信されません。

どうも。

誰かがFluorinefxでエラーメールを設定したことがありますか？

更新：log4netでSmtpAppenderを使用して回答を見つけました

FluorineFxRTMPサービスに接続する.NETコンシューマクライアントを作成しようとしています。Flexコンシューマークライアントの作成は非常に簡単でした。.NETでも同じものを作成したいと思います。

（言い換えると、MessageAdapterをMessageAdapterに接続する方法は？）

どうもありがとう、

ドゥディ

フォーム認証を使用して現在のユーザーを識別するFluorineFx/ASP.Netアプリケーションがあります。FluorineFxでこれらのクレデンシャルを使用するには、を使用しますFluorineContext.Current.User.Identity。初めてログインするとき、現在のコンテキストは正しいIDをきちんと反映しています。

ログアウトするときに、とを実行してFormsAuthentication.SignOut()、Session.Abandonユーザーの資格情報とセッションの両方を無効にします。しかし、別のユーザーとして再度ログインするとFluorineContext.Current.User.Identity、ASP.Netアプリケーションには適切なユーザー資格情報がありますが、前のユーザーの資格情報が含まれています。アプリケーションを再構築すると、FluorineFxクレデンシャルがリセットされ、正しいクレデンシャルが再び反映されます。

誰かがこれについての説明、および/またはこれを修正する方法を持っていますか？

私はSFDCに代わってデロイトによるセキュリティ監査に打撃を受けました。基本的に、flexを使用し、AMFを介して通信します。これには、（LCDSやBlazeではなく）FluorineFXを使用します。AMF応答はエンコードされておらず、誰かがAMFパラメータを操作して、これがXSSの脆弱性であるJavascriptを挿入できるためだと言われています。エラーメッセージで渡されたJSをエコーする可能性のあるAMF応答が、ブラウザまたはその他の問題でどのように実行されるかを理解するのに苦労しています。私はHTMLとJSを使用したXSSの経験が豊富ですが、AMFでタグ付けされるのを見るのは少し驚きでした。私はFluorineFxチームと連絡を取り合っており、彼らも困惑しています。

AMFライブラリが応答データをエンコードしているのを見て驚いたでしょうが、フッ素は確かにエンコードしていません。PortSwiggerやIBMAppScanなどのセキュリティアプリケーションは、ツールチェストにこのタイプのテストを組み込んでいるように見えます。AMFでこの脆弱性に遭遇しましたか？XSSの問題がどのように現れるかを説明できますか？ちょっと興味があるんだけど。議論が存在する場合、私はこれから抜け出す方法を議論するか、穴にパッチを当てる必要があります。FlexでのAMFの使用法を考えると、ある程度の洞察があるのではないかと思いました。

追加情報 ...

それで、実際のベンダーであるPortSwiggerからこれについてもう少し詳しく説明します。私は彼らに質問を投げかけました、そしてネット、ネット、彼らはこのタイプの攻撃が非常に複雑であることを認めます。当初、彼らはこれを重大度の高いセキュリティの問題として分類していますが、現在、彼らの調子は変わっていると思います。とはいえ、その視点は面白いと思うので、皆さんのために彼らの回答の内容を投稿したいと思いました。

---この問題に関するPortSwiggerから---

メッセージありがとうございます。答えは、これは潜在的に脆弱性ですが、悪用するのは簡単ではないということだと思います。

確かに、この問題は、応答がAMFクライアントによって消費される場合には発生しませんが（何か馬鹿げたことをしない限り）、攻撃者が応答がブラウザーによって消費される状況を設計できる場合に発生します。ほとんどのブラウザはHTTPContent-Typeヘッダーを見落とし、実際の応答コンテンツを確認します。それがHTMLのように見える場合は、そのように処理します。歴史的に、人々がHTML / JSコンテンツを他の応答形式（XML、画像、他のアプリケーションコンテンツ）に埋め込んだ攻撃が数多く存在し、これはブラウザーによってそのように実行されます。

したがって、問題は応答の形式ではなく、応答を生成するために必要な要求の形式です。攻撃者が有効なAMFメッセージを含むクロスドメインリクエストを設計することは簡単ではありません。XSSのような動作を含むXML要求/応答でも同様のことが起こります。ブラウザによってHTMLとして扱われる有効なXML応答を作成することは確かに可能ですが、課題は、HTTPボディのクロスドメインで生のXMLを送信する方法です。これは標準のHTMLフォームを使用して実行できないため、攻撃者はこれを実行するために別のクライアントテクノロジまたはブラウザの癖を見つける必要があります。歴史的に、このようなことは、ブラウザ/プラグインベンダーによって修正されるまで、さまざまな時点で可能でした。現時点でそれを可能にするものは何も知りません。

つまり、これは理論上の攻撃であり、リスクプロファイルに応じて、完全に無視するか、サーバー側の入力検証を使用してブロックするか、サーバーで出力をエンコードしてクライアントで再度デコードすることでブロックできます。

Burpは、この問題の緩和策としてAMFリクエスト形式にフラグを立て、影響を低にダウングレードする必要があると思います。これを修正します。

お役に立てば幸いです。

乾杯PortSwigger

---監査に関する詳細---

portSwiggerが行うことは、必ずしもバイナリペイロードを混乱させることではなく、リクエストを送信するためにハンドラーに送信される実際のAMFパラメーターを混乱させることです。たとえば、これは監査の抜粋であり、リクエストに対するAMF応答の一部を示しています...

そこにある「アラート」スクリプトに注意してください...彼らが行ったことは、呼び出すメソッドを含む渡されたパラメーターの1つ、つまり「com.Analytics.ca.Services.XXX」にJSで囲まれたスクリプトが追加されたことです。そうすることで、JSはエラーメッセージで返されますが、そのJSが実行に近づくために発生しなければならないことがたくさんあります。せいぜい間接的な脅威のようです。

-セキュリティ監査人の最新の視点-

私はより大きなチームと話し合いましたが、それは有効な攻撃であると私たちは皆信じています。PortSwiggerが最初の段落で述べているように、理論的にはcontent-typeをx-amfに設定し、ブラウザーでレンダリングされないことを望んでいるため、ほとんどのブラウザーはこの要求を無視してとにかくレンダリングします。ベンダーは、コンテンツタイプが設定されているという事実に大きく依存していると思います。ただし、IEやSafariの一部のバージョンなどの一般的なブラウザはこれを無視します。

攻撃は、CSRFまたはその他の形式のXSS攻撃を悪用することで簡単にトリガーできます。