¿Es peligroso servir archivos Flash (SWF) subidos por el usuario?

4

Estoy trabajando en un sitio que tiene funcionalidad de CMS. Estoy considerando permitir que los usuarios carguen archivos Flash (.swf) y luego los muestren en mi sitio.

  • ¿Es una mala idea?
  • ¿Hay una manera de hacer esto de manera segura?
  • ¿Cuáles son las peores cosas que pueden pasar, tanto a mis servidores como a los visitantes de mi sitio?
  • ¿Qué precauciones puedo tomar para mitigar estos problemas?
pregunta Alex Grin 05.02.2015 - 00:48
fuente

5 respuestas

6

Las versiones anteriores de flash .swf contienen vulnerabilidades. Un usuario podría cargar un clip creado con una versión anterior de Flash CS y así exponer a cientos de usuarios finales. Si no tienen el último flash player (y muchos no lo tienen), podrían contraer un error desagradable.

El .swf podría activarse para lanzar una inyección entre sitios que implementa un IFRAME dentro de la ventana del navegador del usuario. Entonces se acabó el juego. Esta entrada de blog explica cómo sucede. enlace

Sí.Elcódigodeacciónincluidoenelarchivo.swfpodríalanzarunjavascriptalojadoenotrositiowebyprovocarquealguiencontraigaunvirusconsolovisitarelsuyo.

NingunodelosAVen2014detectóelsoftwaremalicioso.ComoantiguodesarrolladordeFlash,desdeentoncesmehemudadoaCanvasHTML5/jQueryyaquefuncionaendispositivosmóviles.Veaesteejemplo.Estotalmentecompatiblecon enlace

En navegadores más antiguos, como IE8, recurre al flash player equivalente. La experiencia para hacer esto es alta, pero si realmente desea admitir las cargas de swf, necesita un proceso de moderación para eliminar los que no están a la altura de las especificaciones.

    
respondido por el Kevin Yu 05.02.2015 - 01:40
fuente
3

Depende de cómo funciona tu sitio. Flash le permite call javascript , lo que le permite al desarrollador de Flash acceder Las cookies y el DOM para el mismo origen para el que se sirvió el sitio.

Entonces, si está permitiendo que los usuarios presenten un archivo SWF en su dominio, eso significa que cualquier persona que visite la página de sus clientes podría realizar un ataque XSS (scripts entre sitios) si su cliente usa el mismo origen que su sitio. es decir, si permite que los usuarios coloquen archivos swf en www.yoursite.com/clientdirectory, en ese momento es realmente su propietario, ya que cualquier cliente podría obtener cookies de autenticación.

Si su sitio es simplemente un sitio de alojamiento y las URL nunca se comparten entre usted y otros clientes, es decir, su sitio permite que los clientes publiquen flash en www.theirsite.com, realmente no hay problemas especiales con los archivos swf que con un archivo normal. javascript.

    
respondido por el Steve Sether 05.02.2015 - 22:23
fuente
0

Cada vez que permite que los usuarios carguen archivos a los que otros usuarios pueden acceder, presenta la posibilidad de que un usuario pueda cargar un archivo malicioso. Flash, en particular, es vulnerable a muchos tipos diferentes de vulnerabilidades.

No habría ningún riesgo para su servidor porque el archivo swf se descarga a los clientes y se ejecuta allí.

Podría intentar escanear los archivos swf en busca de malware, pero eso solo ofrecerá una protección limitada.

    
respondido por el schroeder 05.02.2015 - 01:00
fuente
0

Hace un tiempo hubo una vulnerabilidad del servidor de Windows que se debió a fallas en los detectores previos que fueron activados por los mecanismos de indexación de búsqueda ejecutados en el servidor. Eso permitió que un ataque que estaba presente en el archivo de medios cargado también infecte el servidor. Los defectos de las previsualizaciones de JPG y TTF fueron explotados por diferentes tipos de malware. Por lo tanto, históricamente ha sido posible que un archivo provisto por un usuario no solo ataque a otros usuarios, sino también a servidores desatendidos.

Estas fallas se han solucionado hace mucho tiempo, por supuesto. Pero son un recordatorio importante para ser realmente cuidadosos con el contenido cargado, ya que puedes esperar que los vándalos carguen los archivos infectados.

Los archivos Flash más antiguos son conocidos por tener vulnerabilidades graves. Puede intentar validar los archivos cargados, asegurándose de que sean una versión actual. La herramienta Blitzableiter es un comprobador de conformidad de Flash que trata de corregir incompatibilidades peligrosas, puede considerar probar todo el software cargado con él antes de permitirlo. ser servido.

    
respondido por el John Deters 05.02.2015 - 03:01
fuente
-1

A menos que desee permitir la interactividad adicional que proporciona flash, entonces sí, adelante, permítales cargar. Una gran parte de los juegos de red basados en flash solo funcionan debido a esto.

Sin embargo, si solo está interesado en proporcionar transmisión, ¿por qué no solo subir videos? mp4, h264, vp8, etc. Usted es responsable de los usuarios que visitan el sitio, por lo que no es una buena idea ser un pozo de agua.

    
respondido por el deelink 05.02.2015 - 04:39
fuente

Lea otras preguntas en las etiquetas