Является ли Flash Cross Domain бесполезным?

Question

Я пытаюсь воспроизвести FLV-файл, расположенный на удаленном сервере («crossdomain.xml» не существует в процессе), тремя способами:

1. Из браузера с помощью проигрывателя SWFнаходится на каком-либо сервере
2. Из VLC, указывая на удаленный файл.
3. Загрузка удаленного файла и проигрывателя SWF - локальное воспроизведение

Угадайте, что?

1. Не играл на flv
2. Играл как брелок
3. Играл как брелок

Вывод: безопасность Flash домена во всех доменах бесполезна.

Пожалуйста, скажите мне, где я неправ, или, возможно, я просто помогаю кому-то понять, что эта безопасность бесполезна.

Answer 1

Я не собирался писать свой собственный ответ, потому что чувствовал, что @jpea уже написал самые важные вещи.Но похоже, что идея и использование файлов crossdomain.xml все еще неясны.Итак, вот оно:

1. Межсайтовый скриптинг не не относится к доступу к медиа-контенту с других серверов, но к используемому методу атакипримерно на 80% всех нарушений интернет-безопасности.Это может происходить разными способами, но всегда включает в себя введение чужого кода в веб-страницу (или содержимое плагина), чтобы заставить клиента вести себя не так, как было задумано.Это может привести к атаке на сервер позже, но первоначальная проблема всегда связана с уязвимостями на стороне клиента.

2. Файлы кросс-доменных политик - это Flash-реализация так называемой " same-origin-policy ", важной части предотвращения межсайтовых сценариев.По сути, это означает, что любой контент, загруженный SWF, должен быть в том же домене (в отличие от «на том же сервере»), что и исходный контент.

   Что это означает на практике?Это означает, например, что злоумышленнику не разрешено загружать ваш исходный SWF-файл в (невидимый) SWF-файл, размещенный на другом сервере, и отслеживать весь входящий и исходящий трафик или захватывать события клавиатуры, чтобы украсть пароли и тому подобное: Нарушениеcrossdomain-policy вызовет ошибку безопасности, которая останавливает выполнение всех ActionScript.

   Он не , однако препятствует воспроизведению FLV-файлов другим способом - и это совершенно не то, для чего он предназначен.

3. По общему признанию, есть (более или менее простые) способы обойти файлы междоменной политики, например, с помощью прокси-сервера для направления запросов URL-адресов SWF, поэтому их использование не приведет к "реальной" безопасности.Но как часть многоуровневой стратегии безопасности они помогают поднять планку для атакующих.

Answer 2

crossdomain.xml - это мера безопасности для плагина Flash player.Сам по себе FLV не является угрозой безопасности, игрок.В экземпляре № 2 вы не использовали Flash Player.Экземпляр № 3 использует ту же защиту, что и Flash в своей среде IDE (чтобы разрешить отладку).Экземпляр № 1 работал точно так, как задумано.

crossdomain.xml не предназначен для обеспечения безопасности DRM или запрета загрузки файлов.Он предназначен для того, чтобы запретить непреднамеренным доменам использовать FLV / F4V с другого сервера (более известного как межсайтовый скриптинг).