Каковы риски наличия secure = false в файле crossdomain.xml?

Question

Узел allow-access-from имеет необязательный атрибут «secure». Допустим, что файл crossdomain.xml на mysite.com имеет:

<allow-access-from domain="subdomain.example.com" secure="false">

Если для этого параметра установлено значение true (по умолчанию), флеш-клиент, полученный по HTTP, не сможет получить доступ к данным на mysite.com по HTTPS.

Я могу думать только об одном риске для установки безопасности в false: пользователь с зараженным файлом хоста или DNS-сервером может быть перенаправлен на флеш-клиент подделкой http://subdomain.example.com. Теперь этот флеш-клиент может получить доступ к конфиденциальным данным на mysite.com (при условии, что наш пользователь вошел на mysite.com).

Есть ли дополнительные риски? Я предполагаю, что данные все еще зашифрованы, так как клиент подключается к серверу https, поэтому он защищен на транспорте.

Я прочитал официальный документ по безопасности Flash, в котором не было никаких подробностей о рисках: http://www.adobe.com/devnet/flashplayer/articles/flash_player10_security_wp.html

Спасибо!

Answer 1

В то время как любые данные , отправленные на ваш SWF, будут защищенными (при условии, что они подключены через HTTPS), данные , отправленные на SWF с третья сторона не будет защищена с помощью этой настройки, как вы уже знаете.

Например, я захожу на ваш SWF с моим номером социального страхования .Соединение с SWF защищено , поэтому я "в безопасности" там.Однако ваш SWF-файл отправляет логин data на ваш сервер через HTTP для проверки моих учетных данных.Получив ценные данные с вашего сервера с незащищенным соединением, security is compromised.

Вы в безопасности, если данные не важны, но по правилуthumb Я всегда подключал бы HTTPS к HTTPS, когда это возможно.

С уважением-