`

flash_player_9_security 学习

阅读更多

flash_player_9_security 学习

安全 沙盒类型(Security-Sandbox-Types)
   Actionscript 给每个被打开的swf,赋上一个安全状态,叫做安全沙盒类型,安全沙盒类型分为四种,remote,local-with- filesystem,local-with-networking和local-trusted。每种类型都定义了一个不同的规则集合来控制一个swf 外部操作能力。一个安全沙箱 可能禁止的外部操作包括:



  • 本地内容
  • 内容作为数据访问
  • 交叉脚本控制
  • 装载数据
  • 连接一个套接字
  • 发送数据到一个外部的URL
  • 访问用户的的Carmera和MIC
  • ShareObject
  • 上传或下载由用户选择的文件
  • 和装载swf的容器交互的能力
  • 连接 LocalConnection

 


  • actionscrpt代码可以通过 Security.sandboxType,来获得当前swf的安全沙盒类型。一个swf被赋上的安全状态,由一下几个因素决定:
  • swf被打开的位置,本地或网络
  • swf发布时的设置,flex : -use-network = true|false , Flash authoring Tool: local file access| net access
  • FlashPlayerTrust目录,是否指定它为可信任目录或文件。


  swf 根据其打开的位置决定其安全沙盒类型是 remote 还是local中的一种,如果已有example.swf,在网络上打开如,www.ABC.com/example.swf , 则Security.sandboxType被赋予 remote,若在本地打开,当swf 发布为 -use-network = true 或 net access 时,若如果没有 FlashPlayerTrust 指定则为 local-with-networking,如果有,则为local-trusted。 当发布为 -use-network = false或 local file access 若如果没有 FlashPlayerTrust 指定则为local-with-filesystem,如果有则为ocal-trusted。

  安全沙箱对swf的操作限制,主要表现为,内容装载、内容作为数据访问、交叉脚本控制和数据装载。
      内容装载,意味着取得外部资源,然后显示 它。actionscript :Loader.load(),Sound.load(),NetStream.play()。
      内容作为数据访问,读取资源的内部信息。actionscript:Loader实例变量的content访问图片 、BiamapData.draw()、SoundMixer.computeSpectrum、访问 Sound实例
      变量的id3。
      交叉脚本控制,actionscript:Loader实例变量的content取得被转载的swf、访问被装载的swf的变量、方法、类、BiamapData.draw()被装载的swf到BitamapData对象
      数据装载,actionscript:UrlLoader.load() 文本、二进制、变量;URLString。Loaded()

   remote沙盒
   操作             本地范围    来自swf原始区域的远程资源  来自swf非原始区域的远程资源
   内容装载          禁止               允许                      允许
   内容作为数据访问   禁止               允许                      需要授权
   交叉脚本控制      禁止               允许                      需要授权
   数据装载         禁止               允许                      需要授权

   local-with-filesystem沙盒
   操作             本地范围的非swf资源  本地local-with-filesystem swf资源  本地local-with-networking资源  本地local-trusted swf资源  remote资源
   内容装载          允许                         允许                              禁止                         允许                 禁止
   内容作为数据访问   允许                         n/a                               n/a                         n/a                  禁止
   交叉脚本控制      n/a                          允许                              禁止                         需要授权              禁止
   数据装载         允许                          n/a                              n/a                          n/a                  禁止

   local-with-networking沙盒
   操作             本地范围的非swf资源  本地local-with-filesystem swf资源  本地local-with-networking资源  本地local-trusted swf资源  remote资源
   内容装载          允许                         禁止                              允许                          允许                 允许
   内容作为数据访问   禁止                         n/a                               n/a                         n/a                  需要授权
   交叉脚本控制      n/a                          禁止                              允许                          需要授权              需要授权
   数据装载         禁止                          n/a                              n/a                          n/a                  需要授权

   local-trusted沙盒
   操作             本地范围的非swf资源  本地local-with-filesystem swf资源  本地local-with-networking资源  本地local-trusted swf资源  remote资源
   内容装载          允许                         允许                              允许                          允许                 允许
   内容作为数据访问   允许                         n/a                               n/a                         n/a                  允许
   交叉脚本控制      n/a                          允许                              允许                          允许                 允许
   数据装载         允许                          n/a                              n/a                          n/a                  允许


二 权限控制
   Flash Player 客户端运行时安全模型是围绕 swf 文件、本地数据和Internet URL,等这些资源而设置成的模型,“资源持有者”stakeholders 是指拥有或使用这些资源的各方。资源持有者可以对自己的资源进行安全设置。各种资源持有者被分为四个类型。

   Administrative user =》 User => Website Manager => Developer
   管理用户控制,mms.cfg 和 设置 Flash Player 信任 目录。mms.cfg www.adobe.com/go/fp9_admin
   用户控制,设置UI、设置用户Flashplayer 信任目录
   web 站点控制,跨域策略文件 crossdomain.xml
   开发人员控制,Security。allowDomain()

分享到:
评论

相关推荐

    flashplayer_10_sa_debug

    标题“flashplayer_10_sa_debug”指的是Adobe Flash Player的一个特定版本,即10.0版本的安全性增强(Security Enhanced)调试版。Flash Player是一款广泛使用的浏览器插件,主要用于在网页上播放SWF和FLV格式的...

    [Pwn2Own_2016]_Flash_Player最新安全特性分析及绕过思路.pdf

    首先,Flash实现了隔离堆,将原本单一的堆拆分为8个,分配器数目增加到9个,每个堆的地址都是随机的,且彼此之间的差距较大,以增强堆地址随机化。这样,即使攻击者能够控制内存,也无法轻易地预测其他堆的位置,...

    藏经阁-Flash Player最新安全特性分析及绕过思路.pdf

    讲解Flash Player最新安全特性分析及绕过思路 Flash Player作为一个广泛使用的多媒体播放器,长期以来一直是攻击者的瞄准目标。为了防止攻击,Flash Player的安全特性不断演进。 本文将详细讲解Flash Player最新的...

    security脚本

    通过学习这些文件和了解相关知识,我们可以设置和管理自己的Flash Player安全策略,确保服务器上的内容安全,防止未经授权的跨域访问。同时,对于现代Web开发来说,理解这样的安全机制也对理解和应对其他类似技术...

    藏经阁-Flash Player最新安全特性分析 及绕过思路.pdf

    Flash Player 的对象也变得更加安全,例如 Security Cookie 被用于异或加密对象中的关键数据,以防止攻击者修改对象的数据。同时,ByteArray 和 Vector 等对象也被加固,例如 Vector 对象中新增了一个 length 字段,...

    如何修改flash访问本地文件权限.txt

    Flash Player通过一个名为“Security Sandbox”的机制来确保用户的安全。这一机制将Flash内容运行在一个隔离的环境中,防止恶意脚本对用户的系统造成损害。默认情况下,Flash Player不允许SWF文件直接访问本地文件...

    大名鼎鼎SWFUpload- Flash+JS 上传

    SWFUpload v2包含了新的高级功能,改善了稳定性,解决了FlashPlayer中的一些bug,并且提供一套有用的插件。新的功能包括: 在文件上传的同时能够发送额外的POST数据(只针对Flash 9 版本) 针对每一个文件上传发送...

    详细介绍ApplicationDomain和SecurityDomain

    ApplicationDomain和SecurityDomain是Flash Player中用来管理和隔离不同内容的重要机制。它们分别对应着应用程序域和安全域的概念,旨在确保Flash内容在执行时既安全又能有效地处理命名空间冲突。 #### 二、...

    Flash 安全性设置小工具

    关于“Flash player security setting tool”的标签,这进一步强调了该工具的主要作用是管理和调整Flash Player的安全设置。用户可能需要使用这样的工具来应对以下几种情况: - **防止恶意攻击**:由于Flash Player...

    JS不断给FLASH传值

    在AS3中,可以监听`flash.events.SecurityErrorEvent.SECURITY_ERROR`和`flash.events.IOErrorEvent.IO_ERROR`事件。在JavaScript中,可以在尝试调用Flash方法时捕获异常。 总的来说,JavaScript与Flash之间的数据...

    深入理解ApplicationDomain和SecurityDomain

    安全域与应用程序域是Flash Player中两种重要的沙箱概念,它们帮助开发者理解如何管理和隔离不同来源的内容。这篇文章将详细介绍这两个概念,并通过具体的例子帮助读者更好地理解。 #### 一、安全域(Security ...

    flash 安全沙箱处理集合

    在不同沙箱之间进行通信需要特殊处理,例如通过`flash.system.Security`类的`allowDomain()`或`allowInsecureDomain()`方法设置安全策略。 6. **处理问题的策略** 遇到安全沙箱问题时,首先需要确定代码运行的...

    flash安全文档

    《Flash安全文档》是一份由Adobe公司发布的白皮书,详细阐述了Flash Player 9的安全机制与策略,为开发者和用户提供了构建安全Flash应用的指南。本文将基于这份文档,深入探讨Flash的安全环境、潜在风险以及Adobe...

    FLASH AS3 loading 源文件 源代码

    Flash Player使用安全机制,称为“沙箱”,以限制不同来源的SWF文件间的交互。Loader类加载的内容会受到同域策略(same-domain policy)或跨域策略(cross-domain policy)的约束。 7. **显示内容** 加载完成后,...

    flash 语音聊天思路

    9. **Security Considerations**: 由于涉及用户隐私,语音聊天应用必须处理安全问题,如防止未授权访问、保护数据传输的安全以及遵守相关的隐私政策。 10. **User Interface (UI)**: 创建直观易用的UI是用户体验的...

    flash 843安全策略文件 java版本

    标签“flash 843 安全错误”可能是指在没有正确配置843端口策略文件时,Flash Player可能会遇到的安全错误,例如“Error #2048:Security sandbox violation”。这种错误提示表明Flash Player尝试的Socket连接未得到...

    xcode与flash通过socket进行通信

    同时,Flash的AS3代码也需要配置相应的安全策略,如设置`Security.loadPolicyFile()`。 在提供的文件"socket server2"中,很可能包含了一个示例的Socket服务器代码,可能用于演示如何处理Flash的Socket连接和政策...

    flash action script 经典字典教程大全,学flash必备

    flash action script 经典字典教程大全,学flash必备 -- --(递减) ++ ++(递增) ! !(逻辑 NOT) != !=(不等于) !== !==(不全等) % %(模) %= %=(模赋值) & &(按位 AND 运算符) && ...

    用php的socket跟flash的socket通信

    - 当客户端首次尝试与服务器建立 Socket 连接时,Flash Player 会首先发送一个 `policy-file-request` 消息到服务器,请求获取安全策略文件。 - 服务器需要根据这个请求返回一个正确的 `cross-domain.xml` 文件。 ...

Global site tag (gtag.js) - Google Analytics