Discussion :

[adiGuba]

Salut,



Je ne connais pas du tout le flash ni son fonctionnement, et j'ai du mal à trouver une information clair sur mon problème.

Je veux permettre à des utilisateurs de publier des animations flash quelconques sur un site. Je n'aurais donc aucun contrôle sur l'origine des animations. Y-a-t-il des risques du point de vue sécurité ? Est-il possible via un Flash de "voler des cookies" ou d'autre information depuis le site sur lequel l'animation est publié ?

Je crains surtout qu'un utilisateur publie une animation vérolé à son insu et que cela impacte tous les utilisateurs...



Bref y a t-il un risque à inclure une animation Flash inconnu dans une page ?

[adiGuba]

Salut,


Personne n'a d'info sur le sujet ? Tout ce que j'ai trouvé c'est de forcer le paramètre AllowScriptAccess à never pour interdire à l'application flash d'acceder aux script de la page...


Mais cela suffit-il à insérer n'importe quel Flash sans risque ?

[beekeep]

Salut,

pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère.

Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash)
Si ton site utilise les SharedObjects, le problème est que uniquement le client peut restrindre l'accès à ces ces objets (clic droit > parametres)

à part ça je ne pense pas qu'il y ai de gros risques.

[adiGuba]

Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash)

Une confirmation : les cookies Flash sont bien différents des cookies "standard" ?

Je n'utilise pas de Flash sur mes pages donc si c'est bien cà cela ne devrait pas poser de problème.

[beekeep]

Une confirmation : les cookies Flash sont bien différents des cookies "standard" ?

oui,

pour que Flash accède aux cookies standards il faut passer par une autre techno je crois.(genre javascript)
:: à confirmer

[adiGuba]

pour que Flash accède aux cookies standards il faut passer par une autre techno je crois.(genre javascript)
:: à confirmer

Ok si c'est bien cela c'est parfait car AllowScriptAccess pourrait interdire cela

a++

[hubidev]

Salut,

pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère.

Ensuite la seule chose qu'une animation Flash seule peut modifier c'est les SharedObjects. (cookies flash)
Si ton site utilise les SharedObjects, le problème est que uniquement le client peut restrindre l'accès à ces ces objets (clic droit > parametres)

à part ça je ne pense pas qu'il y ai de gros risques.

Il me semble aussi, peut-être je me trompe, qu'il faut que le répertoire d'upload soit protéger du reste du site.

En flash je sais pas mais une technique qui est possible pour passer les barrières de sécurité est d'uploader un faux fichier qui cache un script permettant d'aller récupérer les htaccess ou autre htpassword ou de se balader dans les répertoires.

Donc si la personne tape l'url du swf (swf : restriction par tes soins) et si ce dernier est un fichier texte écrit par exemple en php il me semble que le navigateur ne pourra le considéré que comme un fichier flash qui ne marche pas

pour une animation qui serait vérolé je pense que c'est directement le FlashPlayer qui gère.

on est d'accord, mais bon il faudra pour cette éventuelle raison et d'autres raisons restreindre le répertoire d'upload avec htaccess pour que personne ne puisse afficher les swf sans passer par le fichier qui est prévu pour les lancer.

Je sais pas si c'est clair et si c'est justifié... à creuser avec l'ami google...

du genre :
.htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName AccesRestreint
AuthType Basic
<limit GET POST>
order deny,allow
deny from all
allow from www.monsite.com/lanceurdeswf.htm  (>>à vérifier et à modifier pour rendre l'upload possible)
</Limit>

non?

hubidev

[adiGuba]

hubidev >> merci pour ces infos mais les flash ne seront pas hébergé mais lié depuis d'autres sites.


a++