flash_player_9_security 学习
一 安全
沙盒类型(Security-Sandbox-Types)
Actionscript
给每个被打开的swf,赋上一个安全状态,叫做安全沙盒类型,安全沙盒类型分为四种,remote,local-with-
filesystem,local-with-networking和local-trusted。每种类型都定义了一个不同的规则集合来控制一个swf
外部操作能力。一个安全沙箱
可能禁止的外部操作包括:
- 本地内容
- 内容作为数据访问
- 交叉脚本控制
- 装载数据
- 连接一个套接字
- 发送数据到一个外部的URL
- 访问用户的的Carmera和MIC
- ShareObject
- 上传或下载由用户选择的文件
- 和装载swf的容器交互的能力
- 连接 LocalConnection
- actionscrpt代码可以通过 Security.sandboxType,来获得当前swf的安全沙盒类型。一个swf被赋上的安全状态,由一下几个因素决定:
- swf被打开的位置,本地或网络
- swf发布时的设置,flex
: -use-network = true|false , Flash authoring Tool: local file access| net access
- FlashPlayerTrust目录,是否指定它为可信任目录或文件。
swf 根据其打开的位置决定其安全沙盒类型是 remote 还是local中的一种,如果已有example.swf,在网络上打开如,www.ABC.com/example.swf
,
则Security.sandboxType被赋予 remote,若在本地打开,当swf 发布为 -use-network = true 或
net access 时,若如果没有 FlashPlayerTrust 指定则为
local-with-networking,如果有,则为local-trusted。 当发布为 -use-network = false或
local file access 若如果没有 FlashPlayerTrust
指定则为local-with-filesystem,如果有则为ocal-trusted。
安全沙箱对swf的操作限制,主要表现为,内容装载、内容作为数据访问、交叉脚本控制和数据装载。
内容装载,意味着取得外部资源,然后显示
它。actionscript
:Loader.load(),Sound.load(),NetStream.play()。
内容作为数据访问,读取资源的内部信息。actionscript:Loader实例变量的content访问图片
、BiamapData.draw()、SoundMixer.computeSpectrum、访问 Sound实例
变量的id3。
交叉脚本控制,actionscript:Loader实例变量的content取得被转载的swf、访问被装载的swf的变量、方法、类、BiamapData.draw()被装载的swf到BitamapData对象
。
数据装载,actionscript:UrlLoader.load() 文本、二进制、变量;URLString。Loaded()
remote沙盒
操作 本地范围 来自swf原始区域的远程资源 来自swf非原始区域的远程资源
内容装载 禁止 允许 允许
内容作为数据访问 禁止 允许 需要授权
交叉脚本控制 禁止 允许 需要授权
数据装载 禁止 允许 需要授权
local-with-filesystem沙盒
操作 本地范围的非swf资源 本地local-with-filesystem swf资源 本地local-with-networking资源 本地local-trusted swf资源 remote资源
内容装载 允许 允许 禁止 允许 禁止
内容作为数据访问 允许 n/a n/a n/a 禁止
交叉脚本控制 n/a 允许 禁止 需要授权 禁止
数据装载 允许 n/a
n/a n/a 禁止
local-with-networking沙盒
操作 本地范围的非swf资源 本地local-with-filesystem swf资源 本地local-with-networking资源 本地local-trusted swf资源 remote资源
内容装载 允许 禁止 允许 允许 允许
内容作为数据访问 禁止 n/a
n/a n/a 需要授权
交叉脚本控制 n/a 禁止 允许 需要授权 需要授权
数据装载 禁止 n/a
n/a n/a 需要授权
local-trusted沙盒
操作 本地范围的非swf资源 本地local-with-filesystem swf资源 本地local-with-networking资源 本地local-trusted swf资源 remote资源
内容装载 允许 允许 允许 允许 允许
内容作为数据访问 允许 n/a n/a n/a 允许
交叉脚本控制 n/a 允许 允许 允许 允许
数据装载 允许 n/a
n/a n/a 允许
二 权限控制
Flash Player 客户端运行时安全模型是围绕 swf 文件、本地数据和Internet
URL,等这些资源而设置成的模型,“资源持有者”stakeholders
是指拥有或使用这些资源的各方。资源持有者可以对自己的资源进行安全设置。各种资源持有者被分为四个类型。
Administrative user =》 User => Website Manager => Developer
管理用户控制,mms.cfg 和 设置 Flash Player 信任 目录。mms.cfg www.adobe.com/go/fp9_admin
。
用户控制,设置UI、设置用户Flashplayer 信任目录
web 站点控制,跨域策略文件 crossdomain.xml
开发人员控制,Security。allowDomain()
分享到:
相关推荐
标题“flashplayer_10_sa_debug”指的是Adobe Flash Player的一个特定版本,即10.0版本的安全性增强(Security Enhanced)调试版。Flash Player是一款广泛使用的浏览器插件,主要用于在网页上播放SWF和FLV格式的...
首先,Flash实现了隔离堆,将原本单一的堆拆分为8个,分配器数目增加到9个,每个堆的地址都是随机的,且彼此之间的差距较大,以增强堆地址随机化。这样,即使攻击者能够控制内存,也无法轻易地预测其他堆的位置,...
讲解Flash Player最新安全特性分析及绕过思路 Flash Player作为一个广泛使用的多媒体播放器,长期以来一直是攻击者的瞄准目标。为了防止攻击,Flash Player的安全特性不断演进。 本文将详细讲解Flash Player最新的...
通过学习这些文件和了解相关知识,我们可以设置和管理自己的Flash Player安全策略,确保服务器上的内容安全,防止未经授权的跨域访问。同时,对于现代Web开发来说,理解这样的安全机制也对理解和应对其他类似技术...
Flash Player 的对象也变得更加安全,例如 Security Cookie 被用于异或加密对象中的关键数据,以防止攻击者修改对象的数据。同时,ByteArray 和 Vector 等对象也被加固,例如 Vector 对象中新增了一个 length 字段,...
Flash Player通过一个名为“Security Sandbox”的机制来确保用户的安全。这一机制将Flash内容运行在一个隔离的环境中,防止恶意脚本对用户的系统造成损害。默认情况下,Flash Player不允许SWF文件直接访问本地文件...
SWFUpload v2包含了新的高级功能,改善了稳定性,解决了FlashPlayer中的一些bug,并且提供一套有用的插件。新的功能包括: 在文件上传的同时能够发送额外的POST数据(只针对Flash 9 版本) 针对每一个文件上传发送...
ApplicationDomain和SecurityDomain是Flash Player中用来管理和隔离不同内容的重要机制。它们分别对应着应用程序域和安全域的概念,旨在确保Flash内容在执行时既安全又能有效地处理命名空间冲突。 #### 二、...
关于“Flash player security setting tool”的标签,这进一步强调了该工具的主要作用是管理和调整Flash Player的安全设置。用户可能需要使用这样的工具来应对以下几种情况: - **防止恶意攻击**:由于Flash Player...
在AS3中,可以监听`flash.events.SecurityErrorEvent.SECURITY_ERROR`和`flash.events.IOErrorEvent.IO_ERROR`事件。在JavaScript中,可以在尝试调用Flash方法时捕获异常。 总的来说,JavaScript与Flash之间的数据...
安全域与应用程序域是Flash Player中两种重要的沙箱概念,它们帮助开发者理解如何管理和隔离不同来源的内容。这篇文章将详细介绍这两个概念,并通过具体的例子帮助读者更好地理解。 #### 一、安全域(Security ...
在不同沙箱之间进行通信需要特殊处理,例如通过`flash.system.Security`类的`allowDomain()`或`allowInsecureDomain()`方法设置安全策略。 6. **处理问题的策略** 遇到安全沙箱问题时,首先需要确定代码运行的...
《Flash安全文档》是一份由Adobe公司发布的白皮书,详细阐述了Flash Player 9的安全机制与策略,为开发者和用户提供了构建安全Flash应用的指南。本文将基于这份文档,深入探讨Flash的安全环境、潜在风险以及Adobe...
Flash Player使用安全机制,称为“沙箱”,以限制不同来源的SWF文件间的交互。Loader类加载的内容会受到同域策略(same-domain policy)或跨域策略(cross-domain policy)的约束。 7. **显示内容** 加载完成后,...
9. **Security Considerations**: 由于涉及用户隐私,语音聊天应用必须处理安全问题,如防止未授权访问、保护数据传输的安全以及遵守相关的隐私政策。 10. **User Interface (UI)**: 创建直观易用的UI是用户体验的...
标签“flash 843 安全错误”可能是指在没有正确配置843端口策略文件时,Flash Player可能会遇到的安全错误,例如“Error #2048:Security sandbox violation”。这种错误提示表明Flash Player尝试的Socket连接未得到...
同时,Flash的AS3代码也需要配置相应的安全策略,如设置`Security.loadPolicyFile()`。 在提供的文件"socket server2"中,很可能包含了一个示例的Socket服务器代码,可能用于演示如何处理Flash的Socket连接和政策...
flash action script 经典字典教程大全,学flash必备 -- --(递减) ++ ++(递增) ! !(逻辑 NOT) != !=(不等于) !== !==(不全等) % %(模) %= %=(模赋值) & &(按位 AND 运算符) && ...
- 当客户端首次尝试与服务器建立 Socket 连接时,Flash Player 会首先发送一个 `policy-file-request` 消息到服务器,请求获取安全策略文件。 - 服务器需要根据这个请求返回一个正确的 `cross-domain.xml` 文件。 ...