È pericoloso pubblicare file Flash (SWF) caricati dall'utente?

4

Sto lavorando su un sito con funzionalità CMS. Sto considerando di consentire agli utenti di caricare file Flash (.swf) e visualizzarli sul mio sito.

  • È una cattiva idea?
  • C'è un modo per farlo in sicurezza?
  • Quali sono le peggiori cose che possono accadere, sia ai miei server che ai visitatori del mio sito?
  • Quali precauzioni posso prendere per attenuare questi problemi?
posta Alex Grin 05.02.2015 - 00:48
fonte

5 risposte

6

Le versioni precedenti di Flash .swf contengono vulnerabilità. Un utente può caricare una clip creata con una versione precedente di Flash CS e quindi esporre centinaia di utenti finali. Se non hanno l'ultimo flash player (e molti non lo fanno), potrebbero prendere un brutto bug.

Il .swf potrebbe essere attivato per avviare un'iniezione cross-site che distribuisce un IFRAME all'interno della finestra del browser dell'utente. Quindi è game over. Questo post sul blog spiega come succede. link

Yup.Ilcodicediazionecontenutonelfile.swfpotrebbeavviareunjavascriptospitatosuunaltrositoWebecausarel'accessoaunvirusdapartediqualcunovisitandoiltuo.

NessunodegliAVdel2014harilevatoilbadware.ComeexsviluppatorediFlash,daalloramisonospostatosuCanvasHTML5/jQuerymentrefunzionasumobile.Vediquestoesempio.Ècompletamentecompatibile link

Nei browser più vecchi come IE8 cade al lettore flash equivalente. L'esperienza per farlo è alta, ma se vuoi davvero supportare i caricamenti swf hai bisogno di un processo di moderazione per rimuovere quelli che non sono all'altezza delle specifiche.

    
risposta data 05.02.2015 - 01:40
fonte
3

Dipende da come funziona il tuo sito. Flash ti consente di chiamare javascript , che consente allo sviluppatore flash di accedere cookie e il DOM per la stessa origine per la pubblicazione del sito.

Quindi se stai consentendo agli utenti di pubblicare un file SWF sul tuo dominio, significa che chiunque visiti la pagina dei tuoi clienti potrebbe eseguire un attacco XSS (cross site scripting) se il tuo cliente ha utilizzato la stessa origine del tuo sito. Ad esempio, se consenti agli utenti di inserire file swf su www.yoursite.com/clientdirectory, in quel momento sei davvero di proprietà, dal momento che qualsiasi client può utilizzare i cookie di autenticazione.

Se il tuo sito è solo un sito di hosting e gli URL non vengono mai condivisi tra te e altri client, cioè il tuo sito consente ai clienti di pubblicare flash su www.theirsite.com, non ci sono davvero problemi particolari con i file swf che con un normale javascript.

    
risposta data 05.02.2015 - 22:23
fonte
0

Ogni volta che si consente agli utenti di caricare file a cui altri utenti possono accedere, si introduce la possibilità che un utente possa caricare un file dannoso. Flash, in particolare, è vulnerabile a molti diversi tipi di vulnerabilità.

Non ci sarebbero rischi per il tuo server perché il file swf viene scaricato nei client ed eseguito lì.

Si potrebbe tentare di scansionare i file swf per il malware, ma questo offrirà solo una protezione limitata.

    
risposta data 05.02.2015 - 01:00
fonte
0

Qualche tempo fa c'era una vulnerabilità del server Windows dovuta a difetti nei programmi di anteprima che venivano attivati dai meccanismi di indicizzazione della ricerca eseguiti sul server. Ciò consentiva che un attacco presente nel file multimediale caricato infetti anche il server. Entrambi i difetti di anteprima JPG e TTF sono stati sfruttati da diversi tipi di malware. Quindi è stato storicamente possibile per un file fornito dall'utente non solo attaccare altri utenti, ma anche i server non presidiati.

Naturalmente questi difetti sono stati risolti da molto tempo. Ma sono un importante promemoria per fare molta attenzione ai contenuti caricati, perché puoi aspettarti che i vandali caricino file infetti.

I file Flash precedenti sono noti per avere gravi vulnerabilità. Potresti provare a convalidare i file caricati, assicurandoti che siano una versione corrente. Lo strumento Blitzableiter è un tester di conformità Flash che tenta di correggere incompatibilità pericolose, potresti prendere in considerazione la possibilità di testare tutto il software caricato con esso prima di permetterlo di essere servito.

    
risposta data 05.02.2015 - 03:01
fonte
-1

A meno che tu non voglia consentire l'interattività aggiuntiva offerta dal flash, allora sì vai avanti consenti loro di caricare. Una gran parte dei giochi basati su flash funziona solo per questo.

Tuttavia, se ti interessa solo fornire streaming, perché non caricare solo video? mp4, h264, vp8 ecc. Sei responsabile per gli utenti che visitano il sito, quindi essere un waterhole non è una buona idea.

    
risposta data 05.02.2015 - 04:39
fonte

Leggi altre domande sui tag