Un file crossdomain.xml può ridurre un potenziale rischio per la sicurezza?

Naviga le tue risposte
3

Gestisco un sito Web dove gli utenti possono caricare file. Sto già facendo alcuni buoni controlli MIME, controlli di coerenza, controlli antivirus, controlli di liste nere basate su liste di hash, altri controlli personalizzati e ho anche utilizzato la maggior parte delle best practice relative alla funzionalità di caricamento dei file. Ma stavo pensando al seguente scenario peggiore:

Diciamo che un utente riuscirà a caricare un file SWF e sarà in grado di accedervi dal mio dominio ed eseguirlo in un browser. Posso isolare o ridurre i rischi aggiungendo già un file crossdomain.xml rigido? Solo per impedire l'escalation in questo scenario.

Al momento il mio sito non utilizza alcun flash o silverlight e per tale ragione suppongo di non aver bisogno di un file crossdomain.xml. Tuttavia, mi chiedo se faccio del mio meglio per impostare un file crossdomain.xml configurato in modo rigoroso nel caso in cui un utente sia in grado di caricare ed eseguire codice dannoso (ad esempio utilizzando il flash).

Mi piacerebbe sentire alcune opinioni su questo! Grazie in anticipo!

    
posta Bob Ortiz 22.04.2015 - 19:36
fonte

2 risposte

1

Penso che tu stia chiedendo se hai bisogno di proteggerti nel caso in cui l'impossibile (o almeno altamente improbabile) si verifichi.

Credo che un crossdomain.xml sia coinvolto solo quando un client viene indirizzato a caricare il contenuto dal server non di origine. Quindi aggiungere un file crossdomain.xml severo ti proteggerà da questo.

Tuttavia, crossdomain.xml non ti proteggerà da un utente che accede direttamente al file SWF dal tuo server poiché non ci sono domini secondari coinvolti in tale scenario.

Se non hai disabilitato il download di file SWF nel tuo server web, lo farei per primo. I dettagli dipenderanno dal tuo server web ma non dovrebbe essere difficile da fare.

Una volta che hai già disabilitato sia il caricamento che il download di file SWF, suppongo che il file crossdomain.xml possa proteggere contro determinati attacchi, ma lontano da tutti. Quindi non vedo alcun danno, ma non vedo un grande guadagno neanche.

Spero che questo aiuti.

    
risposta data 22.04.2015 - 21:54
fonte
1

Non avere crossdomain.xml significa che un'applicazione Flash non può effettuare una richiesta al tuo sito Web in primo luogo, quindi se non ne hai uno che è più bloccato già che includerne uno. A meno che, naturalmente, non autorizzi gli utenti a caricare i propri file crossdomain.xml ?

Inoltre crossdomain.xml non impedirà in primo luogo il caricamento di un file SWF dal tuo dominio. Se interessa solo le richieste del dominio incrociato da altri domini ai tuoi.

Dovresti concentrarti per assicurarti che non sia possibile caricare un file per poi scaricarlo con il tipo di contenuto Flash.

    
risposta data 23.04.2015 - 11:25
fonte

Leggi altre domande sui tag

Servizio di auth centrale che reindirizza al sottodominio, utilizzando la firma digitale come token di autenticazione ID sessione SSL nella ripresa basata su ticket TLS