SWF хостинг сигурност

Започнах да разработвам приложение за рисуване в as3. Мисля, че мога да интегрирам cms и да разреша swf файловете да се качват по време на изпълнение като графики. Какви са потенциалните проблеми със сигурността, включващи вероятно злонамерени swf файлове на трети страни тук?

Просто бих добавил swf като персонализиран клас спрайт към маскиран контейнерен спрайт. Това отваря ли дупка за изпълнение на други скриптове (js на друг сървър?) и/или дава ли достъп до компютъра на клиента по опасни начини?

Ще се радвам на всякакви препоръки за четене и/или съвет/опит в swf хостинг като този. Виждам, че това се прави на много сайтове сега като wonderfl и activeden.


hosting security flash actionscript-3 actionscript
person imp    schedule 19.09.2010    source източник

Отговори (2)


arrow_upward
1
arrow_downward

Това е еквивалентът на ActionScript на XSS. Вашият домейн вече няма да бъде защитен от Правила за същия произход. Това може да се използва от нападател, за да отвлече идентификатор на сесия (бисквитка), да обезобрази вашия уеб сайт или да достави експлойт код на всеки браузър, който посещава вашия сайт.

person rook    schedule 19.09.2010
comment
Ще трябва да прочета това отново, за да разбера тази концепция. Предполагам, че ако потребител качи swf като графика в приложението и след това се запише на сървъра. Когато друг потребител отвори отново приложението, което зарежда същия swf, по подразбиране няма да позволи този swf междудомейн достъп. - person imp; 21.09.2010
comment
Предполагам, че ако трябваше да следвам този път, това наистина отваря нова дупка, която някой да използва, но не е като това да не изисква конкретни значителни усилия. Предполагам, че експлойтът, който това оставя, е експлойтът, с който се занимава Adobe. Въпреки че вероятно все още пропускам нещо. Смятате ли, че скенер за вируси от страна на сървъра, който да сканира swf, може да е подходящ, преди друг потребител да е заредил swf графиките в своя клиентски екземпляр? - person imp; 21.09.2010
comment
@user332096 кръстосаният достъп до домейн не влиза в действие. Проблемът тук е, че позволявате SWF файл да бъде качен и след това изпълнен. Този SWF файл ще се изпълнява в контекста на вашия домейн и може да съдържа всичко. Скенер за вируси може да се увери, че този swf файл не експлоатира флаш, но все пак може да е много прост експлойт, който грабва document.cookie и го предава на друг домейн. Докато авторът е единственият, който има достъп до своя качен swf файл, той не може да се използва за получаване на бисквитка на друг потребител и това значително ограничава въздействието. - person rook; 21.09.2010
comment
много добре, добре, топ, разбирам, swf ще бъде доверен от домейна, от който идва. Това е голямо безпокойство. - person imp; 27.09.2010
comment
@user332096 благодаря, радвам се да помогна. Мисля, че вече разбирате по-голям набор от проблеми в сигурността на уеб приложенията. - person rook; 27.09.2010

arrow_upward
0
arrow_downward

Мисля, че вместо да запазвате цяла бъркотия от SWF файлове на сървъра, би било по-добре да сериализирате вашите чертежни данни и вашият основен SWF просто да преначертае чертежа въз основа на заредените данни. Все още можете да използвате CMS/база данни, за да съхранявате и управлявате тези данни.

РЕДАКТИРАНЕ*

Ако трябва да заредите SWF файлове, погледнете Определяне на контекст на зареждане. And maybe also take a read through Loading Content.

person Adam Harte    schedule 19.09.2010
comment
не би ли трябвало да използва loadBytes, за да получи сериализираните данни, не е ли това още по-малко сигурно? - person PatrickS; 19.09.2010
comment
А, да, би било хубаво да се сериализират рисунките, ако бяха само рисунки. Надявах се да използвам swf като векторна графика за сложни форми в платното на приложенията, нещо като стикери. - person imp; 21.09.2010