1. Accueil
  2. Question et réponse
  3. crossdomain.xml quel est le point?

crossdomain.xml quel est le point?

2010-11-28 7 views
4

J'ai du mal à comprendre pourquoi crossdomain.xml est une fonctionnalité utile. Cela me semble aller de l'avant. Pourquoi restreindre Flash (par défaut) à la lecture de services accessibles au public?crossdomain.xml quel est le point?

Quel est le point pour empêcher les attaques DDOS de personnes qui téléchargent un logiciel Flash malveillant.

Il ne semble pas protéger les utilisateurs de flash à tous les sites tiers, d'autant plus que c'est contournable avec un proxy, il semble rendre le tout inutile.

Source

2010-11-28 Wes

Répondre

2

Les fichiers Flash s'exécutent sur la machine de l'utilisateur dans un environnement sécurisé. Sans les fichiers crossdomain, un swf peut deviner les services internes, tout ce qui se cache derrière un pare-feu, auquel l'utilisateur a accès, mais pas un fichier SWF. C'est un risque de sécurité majeur. Bien qu'il existe d'autres raisons pour la politique, c'est de loin la raison la plus importante. Donc, vous avez raison, il est ennuyeux de devoir accéder aux API publiques, mais c'est mieux que d'accéder à des API privées, d'imaginer des services d'annuaire d'entreprise, juste parce que le contenu fonctionne sur votre machine.

Source

2010-11-28 19:09:25 Greg

+0

Ainsi, votre disant si je reçois ce corriger le problème est lorsque le fichier flash tente de récupérer quelque chose de localhost, en supposant que l'utilisateur dispose d'un serveur http sur localhost (127.0.0.x) quel que soit. Cela me semble être un cas d'utilisation très minoritaire. – Wes

+0

Il n'y a pas que localhost accessible depuis votre machine. Imaginez être derrière un pare-feu dans une société qui a un répertoire d'employés, etc. – Greg

+0

votre droit bien sûr. Pouvez-vous modifier votre réponse pour inclure cette information plus clairement? et je l'accepterai. – Wes

-1

Je viens juste d'y penser. Honnêtement, ce n'était pas dans ma tête quand j'ai commencé à poser la question.

Il peut s'agir de protéger le développeur d'un fichier flash. En supposant que quelqu'un n'avait pas le savoir technique pour décompiler un fichier flash, et ses demandes de données ont été codées en dur. Lever ce fichier flash du serveur web public et le placer sur votre propre serveur web rend ce flash inefficace.

Si tel est le cas, toutes les demandes effectuées par un fichier flash doivent utiliser les demandes entièrement qualifiées. C'est à dire. pas de demandes relatives.

Dunno si c'est ce qu'ils pensaient ou non.

Source

2010-11-28 19:27:12 Wes

2

Les fichiers de stratégie de domaine croisé peuvent exposer des données protégées à partir de serveurs internes et de serveurs nécessitant une authentification. Plus de détails:
http://www.jamesward.com/2009/11/08/how-bad-crossdomain-policies-expose-protected-data-to-malicious-applications/

Source

2010-11-28 19:45:38

+0

James great écrire sur votre site internet. Cependant je pense que votre réponse et la réponse de Greg sont équivalentes et il était certainement le premier. Donc je vais accepter sa réponse. Désolé. – Wes

+0

Pas de soucis. Content que je puisse aider. :) –

Questions connexes

 Questions connexes