[Sécurité] Insérer une animation Flash inconnu

adiGuba · 24/01/2008, 13h22

Salut,

Je ne connais pas du tout le flash ni son fonctionnement, et j'ai du mal à trouver une information clair sur mon problème.

Je veux permettre à des utilisateurs de publier des animations flash quelconques sur un site. Je n'aurais donc aucun contrôle sur l'origine des animations. Y-a-t-il des risques du point de vue sécurité ? Est-il possible via un Flash de "voler des cookies" ou d'autre information depuis le site sur lequel l'animation est publié ?

Je crains surtout qu'un utilisateur publie une animation vérolé à son insu et que cela impacte tous les utilisateurs...

Bref y a t-il un risque à inclure une animation Flash inconnu dans une page ?

adiGuba · 30/01/2008, 11h05

Salut,

Personne n'a d'info sur le sujet ? Tout ce que j'ai trouvé c'est de forcer le paramètre AllowScriptAccess à never pour interdire à l'application flash d'acceder aux script de la page...

Mais cela suffit-il à insérer n'importe quel Flash sans risque ?

beekeep · 30/01/2008, 11h42

Salut,

pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère.

Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash)
Si ton site utilise les SharedObjects, le problème est que uniquement le client peut restrindre l'accès à ces ces objets (clic droit > parametres)

à part ça je ne pense pas qu'il y ai de gros risques.

adiGuba · 30/01/2008, 11h45

Citation:

Envoyé par beekeep

Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash)

Une confirmation : les cookies Flash sont bien différents des cookies "standard" ?

Je n'utilise pas de Flash sur mes pages donc si c'est bien cà cela ne devrait pas poser de problème.

beekeep · 30/01/2008, 11h52

Citation:

Envoyé par adiGuba

Une confirmation : les cookies Flash sont bien différents des cookies "standard" ?

oui,

pour que Flash accède aux cookies standards il faut passer par une autre techno je crois.(genre javascript)
:: à confirmer

adiGuba · 30/01/2008, 11h59

Citation:

Envoyé par beekeep

pour que Flash accède aux cookies standards il faut passer par une autre techno je crois.(genre javascript)
:: à confirmer

Ok si c'est bien cela c'est parfait car AllowScriptAccess pourrait interdire cela

a++

hubidev · 30/01/2008, 13h42

Citation:

Envoyé par beekeep

Salut,

pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère.

Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash)
Si ton site utilise les SharedObjects, le problème est que uniquement le client peut restrindre l'accès à ces ces objets (clic droit > parametres)

à part ça je ne pense pas qu'il y ai de gros risques.

Il me semble aussi, peut-être je me trompe, qu'il faut que le répertoire d'upload soit protéger du reste du site.

En flash je sais pas mais une technique qui est possible pour passer les barrières de sécurité est d'uploader un faux fichier qui cache un script permettant d'aller récupérer les htaccess ou autre htpassword ou de se balader dans les répertoires.

Donc si la personne tape l'url du swf (swf : restriction par tes soins) et si ce dernier est un fichier texte écrit par exemple en php il me semble que le navigateur ne pourra le considéré que comme un fichier flash qui ne marche pas

Citation:

pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère.

on est d'accord, mais bon il faudra pour cette éventuelle raison et d'autres raisons restreindre le répertoire d'upload avec htaccess pour que personne ne puisse afficher les swf sans passer par le fichier qui est prévu pour les lancer.

Je sais pas si c'est clair et si c'est justifié... à creuser avec l'ami google...

du genre :
.htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName AccesRestreint
AuthType Basic
<limit GET POST>
order deny,allow
deny from all
allow from www.monsite.com/lanceurdeswf.htm  (>>à vérifier et à modifier pour rendre l'upload possible)
</Limit>

non?

hubidev

adiGuba · 30/01/2008, 13h57

hubidev >> merci pour ces infos mais les flash ne seront pas hébergé mais lié depuis d'autres sites.

a++

24/01/2008, 13h22	#1
adiGuba Rédacteur/Modérateur Développeur Java/Web Inscription : avril 2002 Messages : 12 460 Détails du profil Informations personnelles : Sexe : Localisation : France, Corse (Corse) Informations professionnelles : Activité : Développeur Java/Web Secteur : Transports Informations forums : Inscription : avril 2002 Messages : 12 460 Points : 19 447 Points : 19 447	[Sécurité] Insérer une animation Flash inconnu Salut, Je ne connais pas du tout le flash ni son fonctionnement, et j'ai du mal à trouver une information clair sur mon problème. Je veux permettre à des utilisateurs de publier des animations flash quelconques sur un site. Je n'aurais donc aucun contrôle sur l'origine des animations. Y-a-t-il des risques du point de vue sécurité ? Est-il possible via un Flash de "voler des cookies" ou d'autre information depuis le site sur lequel l'animation est publié ? Je crains surtout qu'un utilisateur publie une animation vérolé à son insu et que cela impacte tous les utilisateurs... Bref y a t-il un risque à inclure une animation Flash inconnu dans une page ? __________________ adiGuba [ tutoriels \| blog \| twitter ] Rédacteur/Modérateur Java Présentation de Java SE 7 (commentaires)
	00

30/01/2008, 11h05	#2
adiGuba Rédacteur/Modérateur Développeur Java/Web Inscription : avril 2002 Messages : 12 460 Détails du profil Informations personnelles : Sexe : Localisation : France, Corse (Corse) Informations professionnelles : Activité : Développeur Java/Web Secteur : Transports Informations forums : Inscription : avril 2002 Messages : 12 460 Points : 19 447 Points : 19 447	Salut, Personne n'a d'info sur le sujet ? Tout ce que j'ai trouvé c'est de forcer le paramètre AllowScriptAccess à never pour interdire à l'application flash d'acceder aux script de la page... Mais cela suffit-il à insérer n'importe quel Flash sans risque ? __________________ adiGuba [ tutoriels \| blog \| twitter ] Rédacteur/Modérateur Java Présentation de Java SE 7 (commentaires)
	00

30/01/2008, 13h57	#8
adiGuba Rédacteur/Modérateur Développeur Java/Web Inscription : avril 2002 Messages : 12 460 Détails du profil Informations personnelles : Sexe : Localisation : France, Corse (Corse) Informations professionnelles : Activité : Développeur Java/Web Secteur : Transports Informations forums : Inscription : avril 2002 Messages : 12 460 Points : 19 447 Points : 19 447	hubidev >> merci pour ces infos mais les flash ne seront pas hébergé mais lié depuis d'autres sites. a++ __________________ adiGuba [ tutoriels \| blog \| twitter ] Rédacteur/Modérateur Java Présentation de Java SE 7 (commentaires)
	00

30/01/2008, 11h42	#3
beekeep Rédacteur/Modérateur Développeur informatique Inscription : octobre 2006 Messages : 1 606 Détails du profil Informations personnelles : Sexe : Âge : 26 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : octobre 2006 Messages : 1 606 Points : 2 234 Points : 2 234	Salut, pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère. Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash) Si ton site utilise les SharedObjects, le problème est que uniquement le client peut restrindre l'accès à ces ces objets (clic droit > parametres) à part ça je ne pense pas qu'il y ai de gros risques.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email