swf subir para pagina insertar hechas gratis descargar como codigo boton archivos archivo animaciones security flash embed

security - subir - descargar adobe flash player gratis



¿Cómo incrustar de manera segura cualquier archivo flash(swf)? (6)

Quiero permitir a mis usuarios incorporar sus propias animaciones Flash en sus publicaciones. Por lo general, el archivo real está alojado en algún sitio de alojamiento de imágenes gratuito. En realidad, no cargaría el flash a menos que el usuario haga clic en un botón para jugar (para que no se reproduzca nada automáticamente al cargar la página). Sé que la gente puede hacer algunas cosas realmente molestas en flash, pero no puedo encontrar ninguna información sobre el daño potencial que una aplicación flash podría causarle al espectador.

¿No es seguro incrustar cualquier archivo flash de los internets? Si es así, ¿cómo puedo permitir que los usuarios incrusten animaciones inocentes pero que sigan excluyendo las aplicaciones dañinas?

editar:

Según lo que puedo deducir, la amenaza más obvia es que ActionScript te redirija a un sitio malicioso.

Adobe dice que puede establecer allowScriptAccess = never y allowNetworking = none y que el swf no debería tener acceso a nada fuera de sí mismo. ¿Esto resolverá todos mis problemas?

Al incorporar SWF de orígenes desconocidos, también es una buena práctica colocar una máscara en el cargador para que el archivo SWF cargado no pueda ocupar más espacio en pantalla de lo esperado.

Pseudocódigo para hacerlo:

var maskSpr : Sprite = new Sprite(); maskSpr.graphics.beginFill(); maskSpr.graphics.drawRect(0,0,safeWidth,safeHeight); maskSpr.graphics.endFill(); myLdr.mask = maskSpr;

En realidad, hay más de una opción.

Para estar totalmente seguro, establezca allowScriptAccess = never y allowNetworking = none y el swf no tendrá acceso a nada fuera de sí mismo.

NOTA: allowNetworking está solo en Flash Player 9 (fue creado en respuesta a varios gusanos de MySpace), por lo que deberá usar el objeto SWF para asegurarse de que solo los usuarios con la versión correcta del reproductor flash o mejor tengan cargada la memoria flash.

Sin embargo, si desea habilitar cosas como videos de Youtube, no puede configurar allowNetworking en "ninguno". Afortunadamente, hay un nivel intermedio de seguridad para este campo, "interno", que permite al SWF hablar con su dominio alojado.

También tenga en cuenta que es mejor que no tenga un archivo crossdomain.xml en su sitio. Obtenga más información sobre esos peligros aquí y en otros lugares.

Aquí hay algunos otros sitios que son mencionados por otras respuestas que entran en más detalle:

http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps_04.html

http://blogs.adobe.com/stateofsecurity/2007/07/how_to_restrict_swf_content_fr_1.html

Flash tiene algunas medidas de seguridad ordenadas en su lugar. Permitir que los usuarios carguen archivos SWF en su sitio e insertarlos no es seguro, básicamente se está preparando para un ataque XSS.

Sin embargo, permitirles un enlace directo no debería ser un problema. El swf estará bloqueado en el dominio que lo hospeda y no está permitido llamar a url fuera de ese espacio.

Todavía estará abierto a "enlaces malvados" (estoy seguro de que hay una palabra adecuada para ellos), y con eso me refiero a tener enlaces regulares a yoursite.com/admin/deleteallpages.php que intenta cargar "como" usted . Sin embargo, no podrá utilizar esta información de ninguna manera, básicamente será igual que un enlace normal, y supongo que los cms modernos están protegidos de ese tipo de ataques.

Puede obtener la misma protección alojando sus flashes en un subdominio diferente, ya que Flash considera que esto es lo mismo que un dominio completamente diferente.

Sí, es inseguro.

No hay una manera fácil de permitirlo. Podrías tener una lista blanca de dominios que permitiera pasar a YouTube, Hulu, etc., pero la inclusión en la lista blanca es intrínsecamente minuciosa: estarías constantemente actualizando.