Crossdomain.xml et les questions de sécurité

J'ai lu beaucoup de choses sur les scripts intersites avec Flash, Javascript, etc., et ont également trouvé plusieurs listes avec des sites qui ont un crossdomain.xml qui permet d'accéder à partir de tout serveur. Par exemple, flickr.com fait confiance à tous les domaines.Crossdomain.xml et les questions de sécurité

quelqu'un peut me expliquer pourquoi cela semble être sûr et ne conduit pas à des attaques comme session détournement d'avion? Est-ce parce que les crossdomain.xml est uniquement valable sur les sous-domaines, qui ne permet pas à un attaquant d'obtenir la clé de session?

Source

2010-09-14 Bob

Utilisation des fichiers Crossdomain.xml can be very dangerous et peut ouvrir des sites Web à des attaques graves. Il y a deux règles de base pour empêcher les politiques crossdomain d'ouvrir des trous de sécurité:

Ne placez jamais un fichier de stratégie crossdomain sur un site intranet
Ne placez jamais un fichier de stratégie crossdomain sur un site qui utilise des cookies

une utilisation valide d'un fichier de stratégie crossdomain est sur un site comme api.flickr.com où il y a des services qui ne sont pas seulement utilisent des cookies.

Source

2010-09-14 14:13:32

+1 Le point clé est que api.flickr.com n'utilise pas les cookies pour ses services, et donc un site attaquant ne peut pas abuser les informations d'identification des utilisateurs. –

Merci pour la réponse, vous m'avez beaucoup aidé. :-) – Bob

Crossdomain.xml et les questions de sécurité

Répondre

Questions connexes