Perché Google Chrome blocca la riproduzione raw SWF?

5

Se si tenta di visitare l'URL di un file SWF non elaborato, Chrome 57 si rifiuta di visualizzare e chiede invece se si desidera scaricare, con l'avvertenza "Questo tipo di file può danneggiare il computer". Tuttavia, se si avvolge lo stesso SWF in una pagina Web semplice con un tag oggetto, viene caricato normalmente. I file vengono forniti con il tipo di contenuto "application / x-shockwave-flash" corretto.

C'è qualche motivo di sicurezza per cui il primo caso dovrebbe essere trattato in modo diverso da quest'ultimo?

FWIW, ho la riproduzione Flash impostata su "Chiedi prima (consigliato)" in chrome: // settings / content

Esempio: link vs link

    
posta Foo Bar 17.03.2017 - 14:50
fonte

1 risposta

3

Questo comportamento è apparentemente correlato al modo in cui Flash Player è una funzione click-to-enable in Chrome ora ( Discussione del forum di assistenza di Chrome su questo comportamento ). Se visiti direttamente un SWF, non ti chiederà di fare clic per eseguire, lo scaricherà semplicemente.

Se dovessi andare a chrome://plugins/ e spuntare "Consenti sempre di eseguire", riprodurrebbe il SWF come in precedenza normale nel browser, senza il wrapper HTML. Il fatto che non ti chieda di abilitarlo non sembra essere una decisione di sicurezza.

Is there any security reason why the former case should be treated differently from the latter?

Tutto ciò che viene detto, sì, penso che ci sarebbe.

Immagina che ci fosse un sito web, ad esempio un vecchio forum, che ti consente di caricare un avatar. Si prevede che caricherete un file immagine, ma il controllo del tipo di file è scadente e un utente malintenzionato carica invece un file SWF dannoso per eseguire un attacco XSS sugli amministratori del sito. Ora, l'HTML generato per questo avatar potrebbe essere simile a questo:

<img src="http://example.com/user/123/avatar.swf" />

Questo non funzionerà come un SWF, quindi nessun HTML per l'attaccante. Così, invece, l'hacker induce gli amministratori a fare clic su un link a http://example.com/user/123/avatar.swf in cui il SWF viene caricato e che SWF esegue l'attacco XSS come utenti privilegiati e PWN sul sito.

Ovviamente, tale rischio non è esclusivo di Flash Player. Un attacco simile potrebbe essere eseguito con JavaScript all'interno di un file SVG anziché di un file SWF.

    
risposta data 17.03.2017 - 19:53
fonte

Leggi altre domande sui tag