1) Se un'applicazione web NON usa alcun contenuto Flash, richiede un file di criteri crossdomain / clientacess?
2) Se un'applicazione web non ospita il file di criteri crossdomain / clientaccess, è vulnerabile?
1) Se un'applicazione web NON usa alcun contenuto Flash, richiede un file di criteri crossdomain / clientacess?
2) Se un'applicazione web non ospita il file di criteri crossdomain / clientaccess, è vulnerabile?
Risposta breve: 1.) no non un requisito 2.) sì tramite browser client autenticati manipolati.
SilverlightFox è corretto in quanto il crossdomain.xml non è un requisito di un'applicazione web. Per il sito Web di Adobe il crossdomain.xml è una politica sotto forma di file XML che "concede un client Web, come Adobe Flash Player o Adobe Acrobat (sebbene non necessariamente limitato a questi), il permesso di gestire i dati tra domini" [1 ].
Detto questo è più orientato alla protezione relativa al comportamento del cliente e non ai server stessi, ma la sicurezza del client è importante in quanto non si desidera che un cattivo attore di terze parti attacca il tuo sito web tramite un client autenticato.
Allo stesso modo potrebbe essere una politica organizzativa avere uno per tutte le distribuzioni di server web solo sul flash off-chance viene utilizzato o viene caricato sul sito tramite qualche altro tipo di attacco ma da un punto di vista puramente tecnologico non è certamente un requisito per proteggere il server stesso.
La vera preoccupazione per la sicurezza intorno al problema crossdomain.xml è quando un client flash riceve comandi dannosi da un server flash dannoso che potrebbe causare al client di effettuare richieste dal server utilizzando le credenziali dei client. In questo caso se hai accidentalmente un file crosssdomain.xml non configurato correttamente come
Ciò consentirebbe l'esecuzione dei comandi da un server malevolo come client autenticato connesso al tuo sito che consente a un utente malintenzionato di accedere al tuo server tramite quella sessione di utenti. Se hai dati sensibili questo sarebbe un problema.
Per proteggerlo, sarebbe di grande aiuto avere un correttamente configurato crossdomain.xml che limiti queste azioni al tuo dominio o a un host specifico.
Il seguente sito web affronta questo problema in modo più dettagliato ma come risposta rapida alla tua domanda sì, c'è un valore in questo senso di sicurezza.
Specifica file criteri di dominio incrociato:
[1] Articolo in copia di Adobe sull'impostazione di un file di criteri crossdomain.xml:
No, crossdomain.xml rilassa il criterio di dominio incrociato predefinito di Flash.
La mancanza di un file imporrà le restrizioni predefinite.
Leggi altre domande sui tag flash web-application crossdomain saas