Sven Rautenberg: (FLASH) Cross-Site-Scripting-Beschränkung bekannt?

Beitrag lesen

Moin!

Guter Link. Führt über wenige Stationen zu http://www.macromedia.com/support/flash/ts/documents/loadvars_security.htm#policy. Kurzzusammenfassung: Man kann mit einer eigenen Datei crossdomain.xml im Hauptverzeichnis der (für den Flashfilm fremden) Domain definieren, von wo aus Zugriffe für Flash erlaubt werden.

Ja. Das putzige dabei ist: es führt das Sicherheitskonzept ad absurdum, weil der Entwickler entscheidet, ob Inhalte Cross-Domain ausgetauscht werden, und nicht der Client.

Naja, so halb. Der Entwickler muß hierbei ja einerseits Gewalt über das Flash-File haben, und andererseits über die Domain.

Würde ich als Besitzer der bösen fremden Angriffsdomain ebendiese für alle Welt freischalten, müßte ich immer noch darauf warten, dass mich ein Flashfilm kontaktiert - den ich dazu geschrieben haben muß, und den jemand ahnungslos auf seine Seite setzt.

Wobei letzteres tatsächlich nicht unbedingt so unwahrscheinlich ist. Flash gilt ja eigentlich eher als "kompaktes animiertes Vektor-Bildformat", also kurz als "Bild". Und Bilder sind nicht böse. Dass ein Flash-Bild allerdings die gesamte Mächtigkeit von ActionScript hat, und auch problemlos Javascript aufrufen kann, welches im Site-Kontext der Seite läuft, die das Flash eingebunden hat, wird wenig bedacht. Auf diese Weise kann man sehr simpel alle Daten, die der Benutzer mit der anderen Domain so aushandelt (Cookies, Formulareingaben, etc.) abhören und zur Angriffsdomain weiterleiten. Mit Javascript würde sowas nicht möglich sein.

Merke also: Binde nie fremde, unbekannte Flash-Animationen in die eigene Seite ein.

Insgesamt ist diese ganze Aktion wieder mal ein Paradebeispiel dafür, warum Flash Müll ist (ich verwende das bekannte Wort für Feststoffexkrement mal nicht).

- Sven Rautenberg

--
"Habe den Mut, dich deines eigenen Verstandes zu bedienen!" (Immanuel Kant)