Wie man sicher die Einbettung einer flash-Datei (swf)?
Möchte ich es meinen Nutzern die Einbettung von eigenen Flash-Animationen in Ihre Beiträge. In der Regel wird die tatsächliche Datei gehostet wird, auf einige Kostenlose Bild-hosting-Website. Ich würde nicht wirklich laden Sie die flash-es sei denn, der Benutzer auf eine Schaltfläche zu spielen (so, dass nichts automatisch-spielt beim laden der Seite). Ich weiß, Menschen können einige wirklich nervige Mist in flash, aber ich finde keine Informationen über mögliche ernst Schaden eine flash-app könnte die Ursache für den Betrachter.
Ist es unsicher, einbetten einfach irgendeine flash Datei aus dem Internet? Wenn ja, wie kann ich Benutzer einbetten unschuldig Animationen, aber immer noch halten sich die schädlichen apps?
edit:
Von dem, was ich sammeln können, die offensichtlichste Bedrohung für actionscript-Code leitet Sie zu bösartigen Website.
Adobe sagt Sie können allowScriptAccess=nie und allowNetworking=none und die swf sollte haben keinen Zugriff auf irgendetwas außerhalb von sich selbst. Wird dies all meine Probleme lösen?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Flash hat einige nette security-Maßnahmen. Ermöglicht Benutzern das hochladen swf-Datei auf Ihre Website einbetten, Sie ist unsicher, Sie sind im Grunde setzen Sie sich für eine XSS-Angriff.
Jedoch, so dass Sie auf hotlink-sollte kein problem sein. Die swf wird gesperrt, der domain, das hosting und es ist nicht erlaubt das aufrufen von url ' s außerhalb des Raumes.
Es wird immer noch offen sein, um die "bösen links" (ich bin mir sicher, dass es ein richtiges Wort für Sie), und ich meine mit regelmäßigen verbindungen zu yoursite.com/admin/deleteallpages.php das es versucht zu laden "als" Sie. Es wird jedoch nicht in der Lage sein, diese Daten zu nutzen in irgendeiner Weise, werde es im Grunde das gleiche wie ein normaler link, und ich denke, dass die modernen cms sind gegen diese Art von Angriffen.
Konnte man den gleichen Schutz durch das hosting Ihrer Blitze auf eine andere subdomain, da flash, ist das die gleiche wie eine völlig andere domain.
Beim einbetten von SWF-Dateien aus unbekannten Quellen, es ist auch die beste Praxis zu werfen-eine Maske für das Loader, so dass die geladene SWF-Datei kann nicht die übernahme von mehr Bildschirm Immobilien als erwartet.
Pseudo-code zu tun:
Es ist tatsächlich mehr als eine option.
Absolut sicher, stellen allowScriptAccess=nie und allowNetworking= "keine" und die swf keinen Zugriff auf irgendetwas außerhalb von sich selbst.
HINWEIS: allowNetworking ist nur in Flash Player 9 (er wurde erstellt in Antwort zu diversen myspace-Würmer), so müssen Sie mit SWF-Objekt um sicherzustellen, dass nur Benutzer mit den richtigen flash-player-version oder besser die flash geladen.
Wenn Sie möchten, dass Dinge wie youtube-videos, aber Sie können nicht festlegen, allowNetworking auf "none". Glücklicherweise gibt es ein mittleres Maß an Sicherheit für das Feld "intern" können Sie die SWF-sprechen Sie mit Ihrer gehosteten domain.
Beachten Sie auch, dass Sie besser nicht haben crossdomain.xml Datei auf Ihre Website - mehr Lesen über die Gefahren hier und anderen stellen.
Hier sind einige andere Websites, die erwähnt werden, die von anderen Antworten, die mehr ins detail gehen:
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html
http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html
Als Beispiel Drupal hat ein Szenario wie so dass flash-Inhalte von Nutzern könnte ein Sicherheitsrisiko.
Adobe sagt, Sie können allowScriptAccess=nie und allowNetworking=none und das swf sollte haben keinen Zugriff auf irgendetwas außerhalb von sich selbst. Obwohl allowNetworking ist nur in Flash Player 9, so dass die Nutzer mit älteren Versionen von Flash wäre immer noch anfällig für einige exploits.
Die Schaffung von mehr sicheren SWF-web-Anwendungen : Security-Steuerelemente In HTML-Code
So beschränken Sie den SWF-Inhalt von HTML
Ja, es ist unsicher.
Es gibt keine einfache Möglichkeit, so dass es. Sie haben eine domain-whitelist erlaubt, dass die von YouTube, Hulu, etc. durch, aber das whitelisting ist von Natur aus mühsam - Sie würde ständig aktualisieren.