1. घर
  2. सवाल और जवाब
  3. किसी भी फ़्लैश फ़ाइल (एसएफएफ) को सुरक्षित रूप से कैसे एम्बेड करें?

किसी भी फ़्लैश फ़ाइल (एसएफएफ) को सुरक्षित रूप से कैसे एम्बेड करें?

2008-09-04 18 views
5

मैं अपने उपयोगकर्ताओं को अपनी पोस्ट में अपने स्वयं के फ़्लैश एनिमेशन एम्बेड करने की अनुमति देना चाहता हूं। आम तौर पर वास्तविक फ़ाइल कुछ मुफ्त छवि होस्टिंग साइट पर होस्ट की जाती है। मैं वास्तव में फ्लैश लोड नहीं करता जब तक कि उपयोगकर्ता ने खेलने के लिए बटन पर क्लिक नहीं किया (ताकि पेज लोड पर ऑटो-प्ले न हो)। मुझे पता है कि लोग फ्लैश में कुछ वाकई कष्टप्रद बकवास कर सकते हैं, लेकिन मुझे संभावित गंभीर के बारे में कोई जानकारी नहीं मिल सकती है, जिससे फ्लैश ऐप दर्शक को नुकसान पहुंचा सकता है।किसी भी फ़्लैश फ़ाइल (एसएफएफ) को सुरक्षित रूप से कैसे एम्बेड करें?

क्या यह इंटर्ननेट से बस किसी भी फ़्लैश फ़ाइल को एम्बेड करने में असुरक्षित है? यदि हां, तो मैं उपयोगकर्ताओं को निर्दोष एनिमेशन एम्बेड करने दे सकता हूं लेकिन फिर भी हानिकारक ऐप्स को बाहर रख सकता हूं?

संपादित करें:

मैं क्या इकट्ठा कर सकते हैं से, सबसे स्पष्ट खतरा actionscript एक दुर्भावनापूर्ण साइट पर रीडायरेक्ट करने के लिए है।

एडोब says आप सेट कर सकते हैं allowScriptAccess = कभी नहीं और allowNetworking = कोई भी और swf खुद के बाहर कुछ भी करने के लिए कोई पहुंच होनी चाहिए। क्या यह मेरी सभी समस्याओं का समाधान करेगा?

स्रोत

2008-09-04 dsims

उत्तर

1

एडोब आप allowScriptAccess सेट कर सकते हैं कहते हैं = कभी नहीं और allowNetworking = कोई भी और swf खुद के बाहर कुछ भी करने के लिए कोई पहुंच होनी चाहिए। हालांकि नेटवर्कवर्किंग केवल फ्लैश प्लेयर 9 में है, इसलिए फ़्लैश के पुराने संस्करण वाले उपयोगकर्ता अभी भी कुछ शोषण के लिए अतिसंवेदनशील होंगे।

Creating more secure SWF web applications : Security Controls Within the HTML Code

How to restrict SWF content from HTML

स्रोत

2008-09-08 23:51:04 dsims

0

हाँ, यह असुरक्षित है।

इसे अनुमति देने का कोई आसान तरीका नहीं है। आपके पास एक डोमेन श्वेतसूची हो सकती है जिसने यूट्यूब, हूलू इत्यादि को अनुमति दी है, लेकिन श्वेतसूची में स्वाभाविक रूप से दर्दनाक है - आप लगातार अपडेट हो रहे हैं।

स्रोत

2008-09-04 15:17:29 ceejayoz

1

example Drupal has a scenario के रूप में उपयोगकर्ताओं से फ्लैश सामग्री की अनुमति कैसे सुरक्षा चिंता हो सकती है।

स्रोत

2008-09-04 15:36:27 RedWolves

3

फ्लैश में कुछ साफ-सुथरे सुरक्षा उपाय हैं। उपयोगकर्ताओं को आपकी साइट पर एसएफएफ अपलोड करने और उन्हें एम्बेड करने की अनुमति देना असुरक्षित है, आप मूल रूप से एक एक्सएसएस हमले के लिए स्वयं को स्थापित कर रहे हैं।

हालांकि, उन्हें हॉटलिंक करने की अनुमति देना कोई समस्या नहीं होनी चाहिए। एसएफएफ को उस डोमेन पर लॉक कर दिया जाएगा जो इसे होस्ट कर रहा है और उस स्थान के बाहर यूआरएल को कॉल करने की अनुमति नहीं है।

यह अभी भी "बुरा लिंक" के लिए खुला होगा (मुझे यकीन है कि उनके लिए एक उचित शब्द है), और इसका मतलब है कि यह yoursite.com/admin/deleteallpages.php के नियमित लिंक होने का मतलब है जो इसे लोड करने का प्रयास करता है "जैसे तुम। हालांकि यह किसी भी तरह से इस डेटा का उपयोग करने में सक्षम नहीं होगा, यह मूल रूप से एक सामान्य लिंक के समान होगा, और मुझे लगता है कि आधुनिक सीएमएस 'उस प्रकार के हमलों से संरक्षित हैं।

आप एक अलग सबडोमेन पर अपनी चमक को होस्ट करके एक ही सुरक्षा प्राप्त कर सकते हैं, क्योंकि फ्लैश इसे पूरी तरह से अलग डोमेन के समान मानता है।

स्रोत

2008-09-04 20:00:31 grapefrukt

+0

"बुराई लिंक" CSRF, क्रॉस साइट अनुरोध जालसाजी कहा जाता है। –

3

जब अज्ञात स्रोतों से SWFs embedding, यह भी सबसे अच्छा अभ्यास लोडर पर एक मुखौटा फेंक इतना है कि लोड SWF स्क्रीन का अधिक से अधिक नहीं ले जा सकते में अपेक्षा से अधिक है।

छद्म कोड ऐसा करने के लिए:

var maskSpr : Sprite = new Sprite(); 
maskSpr.graphics.beginFill(); 
maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight); 
maskSpr.graphics.endFill(); 
myLdr.mask = maskSpr;

स्रोत

2008-09-09 14:37:39 RickDT

2

वास्तव में एक से अधिक विकल्प नहीं है।

पूरी तरह से सुरक्षित होने के लिए, allowScriptAccess = कभी भी अनुमति दें और नेटवर्किंग = किसी भी और swf को स्वयं के बाहर किसी भी चीज़ तक पहुंच नहीं होगी।

नोट: अनुमति नेटवर्कवर्क केवल फ्लैश प्लेयर 9 में है (यह विभिन्न माइस्पेस कीड़े के जवाब में बनाया गया था), इसलिए आपको यह सुनिश्चित करने के लिए SWF Object का उपयोग करना होगा कि केवल सही फ़्लैश प्लेयर संस्करण वाले उपयोगकर्ता या बेहतर फ्लैश लोड हो ।

यदि आप यूट्यूब वीडियो जैसी चीजों को सक्षम करना चाहते हैं, हालांकि, आप नेटवर्क नेटवर्किंग को "none" पर सेट नहीं कर सकते हैं। सौभाग्य से, इस क्षेत्र के लिए एक मध्यवर्ती स्तर की सुरक्षा है - "आंतरिक" जो एसडब्ल्यूएफ को अपने होस्ट किए गए डोमेन से बात करने देता है।

यह भी ध्यान रखें कि आपकी साइट पर आपके पास crossdomain.xml फ़ाइल नहीं है - here और अन्य स्थानों पर उन खतरों के बारे में अधिक पढ़ें।

यहाँ कुछ अन्य साइटों है कि अन्य उत्तर है कि और अधिक विस्तार में जाने से उल्लेख कर रहे हैं कर रहे हैं:

http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html

http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html

स्रोत

2009-05-12 05:50:02

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^