L'insertion d'une bannière flash sur mon site externe peut-elle poser un problème de sécurité ?

kent1_123 · 09/02/2011, 19h34

Bonjour,

Ma question vous semblera peut être évidente mais je voudrais savoir si le fait d'insérer une bannière flash d'un site quelconque peut poser des problèmes de sécurité si la bannière flash cherche à voler ou modifier des infos dans la database ou modifier des sessions, ...

Je vous explique précisément la situation :

Je diffuse actuellement des bannières (flash et image) d'une certaine régie publicitaire.
Donc j'ai inséré dans mon code source le script JS de cette régie qui lui va charger une bannière. Celle-ci peut être en flash.

Je me demande donc si cette bannière flash peut compromettre la sécurité de mon site.

Je reste à votre disposition si il faut plus d'explication.

Dans l'attente de vos réponses, bien cordialement Quentin.

fazermokeur · 10/02/2011, 02h03

Hello,

Coté flash, il n'y a rien à craindre. Pour 2 raisons:
La première, c'est que flash est une technologie qui fonctionne coté client, c'est à dire que c'est la machine de ton internaute qui fait fonctionner le logiciel. Elle n'a aucun lien ni accès à ton serveur. De la même manière qu'un fichier html, tu télécharge le fichier swf, puis il est exécuté. Pas de crainte pour l'accès au donné de ce coté.

Bien sur de manière un peu plus poussé, on pourrait accèder à un script sur ton serveur qui aurait accès à ta base de données (un script de login par exemple). Mais c'est là qu'arrive la seconde raison:
Il existe ce qu'on appelle une sandbox de sécurité. Cette sandbox permet d'être contrôler qu'un flash chargé à partir d'un domaine, sera incapable de charger des médias ou de communiquer avec un script sur un serveur.

Par défaut, aucun flash ne peut récupérer des infos sur ton serveur. Mais si par hasard tu en avais besoin, tu pourrais l'autoriser pour un ou plusieurs domaine en placant un fichier crossdomain.xml à la racine de ton serveur.
Si tu veux plus d'infos: http://www.adobe.com/devnet/articles...file_spec.html

kent1_123 · 11/02/2011, 15h04

Bonjour,

Merci beaucoup pour ta réponse fazermokeur.
Je dois avoué que ça me soulage énormément.

Le flash ne pourra donc pas récupérer ou modifier les cookies des membres de mon site par exemple le PHPSESSID avec un script flash ?
(tant que je ne lui donne pas accès dans le fichier crossdomain)

Merci d'avance.

09/02/2011, 19h34	#1
kent1_123 Invité de passage quentin schneider Inscription : janvier 2011 Messages : 9 Détails du profil Informations personnelles : Nom : quentin schneider Informations forums : Inscription : janvier 2011 Messages : 9 Points : 0 Points : 0	L'insertion d'une bannière flash sur mon site externe peut-elle poser un problème de sécurité ? Bonjour, Ma question vous semblera peut être évidente mais je voudrais savoir si le fait d'insérer une bannière flash d'un site quelconque peut poser des problèmes de sécurité si la bannière flash cherche à voler ou modifier des infos dans la database ou modifier des sessions, ... Je vous explique précisément la situation : Je diffuse actuellement des bannières (flash et image) d'une certaine régie publicitaire. Donc j'ai inséré dans mon code source le script JS de cette régie qui lui va charger une bannière. Celle-ci peut être en flash. Je me demande donc si cette bannière flash peut compromettre la sécurité de mon site. Je reste à votre disposition si il faut plus d'explication. Dans l'attente de vos réponses, bien cordialement Quentin.
	00

10/02/2011, 02h03	#2
fazermokeur Membre habitué Développeur multimédia Inscription : juin 2009 Messages : 128 Détails du profil Informations professionnelles : Activité : Développeur multimédia Informations forums : Inscription : juin 2009 Messages : 128 Points : 148 Points : 148	Hello, Coté flash, il n'y a rien à craindre. Pour 2 raisons: La première, c'est que flash est une technologie qui fonctionne coté client, c'est à dire que c'est la machine de ton internaute qui fait fonctionner le logiciel. Elle n'a aucun lien ni accès à ton serveur. De la même manière qu'un fichier html, tu télécharge le fichier swf, puis il est exécuté. Pas de crainte pour l'accès au donné de ce coté. Bien sur de manière un peu plus poussé, on pourrait accèder à un script sur ton serveur qui aurait accès à ta base de données (un script de login par exemple). Mais c'est là qu'arrive la seconde raison: Il existe ce qu'on appelle une sandbox de sécurité. Cette sandbox permet d'être contrôler qu'un flash chargé à partir d'un domaine, sera incapable de charger des médias ou de communiquer avec un script sur un serveur. Par défaut, aucun flash ne peut récupérer des infos sur ton serveur. Mais si par hasard tu en avais besoin, tu pourrais l'autoriser pour un ou plusieurs domaine en placant un fichier crossdomain.xml à la racine de ton serveur. Si tu veux plus d'infos: http://www.adobe.com/devnet/articles...file_spec.html
	00

11/02/2011, 15h04	#3
kent1_123 Invité de passage quentin schneider Inscription : janvier 2011 Messages : 9 Détails du profil Informations personnelles : Nom : quentin schneider Informations forums : Inscription : janvier 2011 Messages : 9 Points : 0 Points : 0	Bonjour, Merci beaucoup pour ta réponse fazermokeur. Je dois avoué que ça me soulage énormément. Le flash ne pourra donc pas récupérer ou modifier les cookies des membres de mon site par exemple le PHPSESSID avec un script flash ? (tant que je ne lui donne pas accès dans le fichier crossdomain) Merci d'avance.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email