Flex und crossdomain.xml

Ich Frage mich, gibt es irgendwelche Sicherheitsprobleme mit hinzufügen crossdomain.xml der root-application-server? Kann es Hinzugefügt werden, um andere Teile des server und sind Sie sich bewusst, jede Arbeit, Tips und Tricks, die nicht erfordern, dass der server über diese Datei?

Dank
Damien

InformationsquelleAutor Damien | 2008-09-19
  1. 10

    Indem die crossdomain.xml die wichtigsten Sicherheitsproblem ist, dass flash-Anwendungen können nun auf den server verbinden. Also, wenn jemand meldet sich auf Ihrer Website, und durchsucht dann über zu einer anderen website mit einem schädlichen flash-app, das flash-app kann eine Verbindung zurück zu Ihrer Website. Da es in einem browser, cookies sind gemeinsam auf das flash-app. Dies ermöglicht es der flash-app zu entführen, die Sitzung des Benutzers zu tun, was es für Ihre Webseite, ohne das der Benutzer es zu wissen.

    Wenn in Ihrem flex-app wird serviert von dem gleichen server, die Sie nicht brauchen, ein crossdomain.xml

    Können Sie es in einem sub-Verzeichnis Ihrer Website und verwenden Sie System.Sicherheit.loadSecurityPolicy()

    http://livedocs.adobe.com/flex/2/langref/flash/system/Security.html

    Anwendungen würden dann begrenzt werden, dass die Struktur der Verzeichnis-Struktur.

    • Hi Marc vielen Dank für Ihre Kommentare. Diese Art der Sache ist sehr beunruhigend. Wissen Sie, ob adobe arbeiten auf dieser oder den kommenden mit mehr Sicherheits-features, die Sie zum beheben dieses potenzielle Bedrohung? Dank Damien
    • Dies ist eine "mögliche" Bedrohung durch design, manchmal Sie brauchen in der Lage sein zu tun crossdomain-Kommunikation, das ist, warum, müssen Sie explizit erlauben, verbindungen mit dieser Datei.
    • Ich verstehe nicht ganz, dieses Risiko. Wenn Sie eine "alles erlauben" crossdomain.xml an der Wurzel Ihrer server, nicht geben, Flash-apps, die den gleichen Zugriff wie Browser bereits haben? Javascript auf einer Webseite an xxx.com nicht sehen können cookies an yyy.com weil die browser-und Javascript-Sicherheit erlauben es nicht. Kann eine flash-Datei an xxx.com wirklich Zugriff auf cookies an yyy.com (wenn yyy.com's crossdomain.xml ist das alles)?
    • Damo - Crossdomain.xml IST das Update auf die potenzielle Bedrohung. Nicht setzen Sie ein, wenn Sie nicht möchten, dass Anwendungen aus anderen Domänen zu Ihrem hit-server.
    • Skippy - sagen wir BANK.COM hat eine Seite, die ermöglicht die übertragung von Geld zwischen Konten. Können sagen, es hat eine offene crossdomain.xml Datei. Nun, sagen wir, dass Benutzer BOB anmeldet BANK.COM wie üblich. Nächsten, BOB Blätter BANK.COM und geht EVIL.COM. Auf EVIL.COM ist eine schädliche flash-app. Das app können Sie eine Anfrage an BANK.COM. Diese Anforderung wird von den browser-genauso wie jeder andere Antrag. Das bedeutet, die app konnte still-hit, der transfer-Seite. BANK.COM würde der Benutzer, wie bereits angemeldet, weil die Anfrage kam, einen browser, der hatte sich richtig authentifiziert, und gerne lassen Sie es gehen.
    • Marc ' s Kommentar ist auf den Punkt. Sollten Sie nicht über eine uneingeschränkte crossdomain.xml es sei denn, alle Ihre Daten öffentlich sind. Den letzten blog-Beitrag zu diesem Thema: erlend.oftedal.Nein/blog/?blogid=101

    InformationsquelleAutor Marc Hughes
  2. 1

    Es gibt keine Problemumgehung für die crossdomain-Datei, ist es erforderlich, zur Unterstützung der crossdomain-Daten zugreifen oder die crossdomain-scripting. Im Falle einer cross-domain-request, Flash Aussehen wird, für die crossdomain.xml Datei im Stammverzeichnis der domain. Zum Beispiel, wenn Sie ersuchenden eine XML-Datei aus:

    http://mysubdomain.mydomain.com/fu/bar/

    Flash wird prüfen, ob eine crossdomain.xml Datei vorhanden:

    http://mysubdomin.mydomain.com/crossdomain.xml

    Können Sie die crossdomain.xml Datei in einen anderen Speicherort. Allerdings, wenn Sie jemals brauchen, um zu laden crossdomain.xml Datei von einem anderen Speicherort, müssen Sie es über Sicherheit.loadPolicyFile . Beachten Sie, dass der Speicherort dieser crossdomain haben keine Auswirkungen auf die Sicherheit zugreifen, die Sie haben. Flash wird nur Zugriff auf den Ordner mit der crossdomain und seine untergeordneten Ordner.

    Möglicherweise möchten Sie auch zu Lesen, auf das security changes in Flash Player 10.

    • Dies ist nicht unbedingt wahr; die Problemumgehung für die crossdomain-Datei proxy-alle Netzwerk-Verkehr über den gleichen server-hosting Ihrer Flash-Anwendung.
    InformationsquelleAutor Ronnie Liew
  3. 0

    Können Sie konfigurieren Sie einen virtuellen host für Ihre Anwendung. Auf diese Weise die Datei crossdomain.xml kann an der Wurzel Ihrer Anwendung, aber nicht unbedingt im Stammverzeichnis des Servers.

    InformationsquelleAutor Alexandre Victoor
  4. 0

    Ja. Seien Sie sehr vorsichtig mit der crossdomain-policy-Dateien:

    http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/

    Meine zwei Allgemeine Faustregeln sind:

    • Keine crossdomain-policy-Datei auf einem server, der cookies verwendet
    • Keine crossdomain-policy-Datei auf einem internen server
    InformationsquelleAutor James Ward
  5. -1

    crossdomain.xml ist nur eine Datei, hat die Bedeutung, die Flash-runtime; Sie können beschränken, welche HTTP-Anfragen bekommen, um es zu sehen. Sie können web-server (z.B. Apache) configuration control Lesezugriff zu gestatten, um es (und nur es) von der "root" - Verzeichnis (siehe Vorherige Antworten).

    Könnten Sie filter von anderen Header in der Anfrage, etc.

    Cheers

    InformationsquelleAutor Richard Haven
Schreibe einen Kommentar