2010-11-07 60 views
0

如果位於http://example.com/test.swf的swf向https://secure.com/webservice.xml發出請求,會發生什麼情況? Adobe有關跨域策略文件的文檔記錄了「安全」屬性。Flash訪問https資源時會發生什麼?

安全:HTTPS和插座只, 可選]指定訪問是否被 只授予HTTPS從 指定的原產地文件(true),還是從指定起點 (假)的所有 文件。如果安全未在 中指定HTTPS策略文件,則默認爲 爲true。不建議在HTTPS策略 文件中使用false,因爲此 會危及由 HTTPS提供的安全性;例如,允許 中間人攻擊獲得 訪問由策略文件保護的HTTPS數據。

這是否意味着Flash播放器實際上會發出HTTP請求,而不是HTTPS?是否存在推定對從非安全域提供的.swf文件信任度較低的問題?如果Flash播放器提出正確的SSL請求,我不會看到其他中間人中間漏洞來自哪裏。如果沒有,我必須認爲Web服務器可能會被配置爲拒絕它。

回答

1

沒有。如果您將屬性secure設置爲false Flash應用程序不會發出http請求。這將使https請求通過https發佈的源代碼。但主要想法是該屬性設置爲false允許Flash連接到其他http資源。在這一刻,「中間人」攻擊可能會發生。想象一下情況。您的Flash應用程序從https加載一些文檔,並在某些Web服務器上處理它們,使用它的API,但通過http,而不是安全的連接。從https加載的數據將通過簡單的http由Flash傳遞到Web服務器。如果您將secure屬性設置爲true,則這將告訴Flash,來自https的文檔需要安全性。並且閃存不會再發出簡單的http請求,因爲來自https的數據可能可能被插入到這個不安全的程序算法請求中。