Il flash di filtraggio è basato sul mimetype sufficiente per tenerlo fuori?

Question

Il flash di filtraggio è basato sul mimetype sufficiente per tenerlo fuori?

#1 da (1 voti)

4

Dato che il flash è un vero caos per la sicurezza, ho avviato la blacklisting del nostro proxy bloccando qualsiasi contenuto con il tipo mime application/x-shockwave-flash che funziona abbastanza bene per quanto posso dire. Il proxy esegue l'intercettazione SSL in modo che copra sia http che https e non permetto a nessun altro protocollo di uscire in modo che il caricamento flash da un server ftp, ad esempio, non sia possibile anche.

Ma mi chiedo se questo è sufficiente perché un server web malevolo potrebbe semplicemente falsificare un tipo di mimo e quindi inviare flash al browser in ogni caso? Funzionerebbe o il flash è vincolato ad alcune limitazioni per prevenire tale comportamento?

flash network defense ssl-interception blacklist

posta davidb 18.07.2016 - 23:28

fonte

1 risposta

Leggi altre domande sui tag flash network defense ssl-interception blacklist

(Come) dovrei ri-firmare le chiavi dopo aver effettuato il passaggio a una nuova chiave? SSL termina su webserver anziché su load balancer. Domanda di conformità PCI

score 1 · Accepted Answer

Il filtro flashing sul tipo MIME è un potenziatore della sicurezza, ma non uno senza buchi.

Con un proxy SSL-privato, puoi assicurarti contro un attacco uomo nel mezzo, ma (come sospetti) non contro i documenti Flash forniti da server legittimi con tipi MIME illegittimi nelle intestazioni.

Non vorrei che il video / x-flv, image / vnd.rn-realflash e application / x-shockwave-flash siano gli unici tipi MIME che invocano Flash su tutti i client HTTP.

Se hai il controllo di tutti i client sulla rete, il commento sulla disabilitazione di Flash potrebbe funzionare, il che può essere difficile se hai utenti che dipendono da una varietà di sistemi operativi e browser per svolgere il loro lavoro.

Una possibile soluzione è impostare il proxy (se sono disponibili le espressioni regolari) per bloccare qualsiasi tipo MIME che corrisponda a / (flash | shock | flv), che sarà più sicuro e un po 'improbabile da bloccare i tipi MIME che si desidera consentire .