Muutama päivä sitten Facebookista ja Myspacesta löydetty ja nyt jo korjattu haavoittuvuus johtui huonosti suunnitellusta crossdomain politiikasta. James Ward esittää havainnollisesti esimerkein miten homma toimii. Käytännössä palvelin jossa käytetään cookieita ja autentikointia ja jolle olet jo autentikoitunut on avoin flash sovelluksille jos palvelimen crossdomain.xml on conffattu leväperäisesti (allow-access-from domain=”*”).
Flash Magazinen mielenkiintoinen artikkeli valottaa Flash Playerin Express Install ominaisuutta, ja Adoben suunnitelmia sen suhteen.
Adobe ilmeisesti testaa parhaillaan tanskalaisen yrityksen Octoshape laajennusta Flash Playeriin, joka mahdollistaa live videon jakelua katsojalta toiselle P2P tekniikalla. Adobelta saadun palautteen mukaan kyseessä on vain kokeilujakso, mutta jokainen voi miettiä kauanko menee ennen kuin muitakin softia jaellaan ja päivitetään automaattisesti palomuurien taakse.
Guy Aharonovsky teki demon, jossa piilottamalla Adoben Flash Player asetuspaneeli iFrameen ja asettamalla klikkauspelin iFramen päälle saatiin pelaajan kamera aktivoitua salassa. Samalla tekniikalla voidaan toteuttaa muita vastaavia “kaappauksia”. Adobe on korjannut jo asetuspaneelin puutteet, mutta Flashin osuus kaappauksissa ja tietoturvaan kohdistuvissa hyökkäyksissä tulee lisääntymään.
Kuten FlashMagazinessa osuvasti kerrottiin, on Flash oiva työkalu hakkereille sen yleisyyden ja laitteistosta riippumattomuutensa vuoksi.
Tai bugit, ihan miten vaan. Keith Peters kirjoittaa blogissaan havainnostaan, että tuleva Flash Player päivitys saattaa rikkoa useita sivustoja (esim. Flickr) ja ohjelmistoja (esim. SWFUpload) jotka käyttävät Flashiä tiedostojen lataukseen palvelimelle. Syy tähän on muutos turvallisuusominaisuuksissa, jotka uudessa playerissä vaativat käyttäjän toimintoa ennen kuin Flash käynnistää käyttöjärjestelmän tiedostojen selauksen.
Lue myös Adoben artikkeli uusista “ominaisuuksista”.
Löysitkö mielenkiintoisen artikkelin, työpaikka-ilmoituksen tai mahtavan sivuston? Lähetä Flash/Adobe -aiheinen vinkkisi Apukeittiöön.
The FWA Site of the Day Adoben ActionScript Reseptit
Loading...
Recent Comments