1) Si una aplicación web NO utiliza ningún contenido de Flash, ¿requiere un archivo de política de dominio cruzado / cliente de cuentas?
2) Si una aplicación web no aloja el archivo de políticas crossdomain / clientaccess, ¿es vulnerable?
1) Si una aplicación web NO utiliza ningún contenido de Flash, ¿requiere un archivo de política de dominio cruzado / cliente de cuentas?
2) Si una aplicación web no aloja el archivo de políticas crossdomain / clientaccess, ¿es vulnerable?
Respuestas breves: 1.) no es un requisito 2.) sí a través de los navegadores cliente autenticados que están siendo manipulados.
SilverlightFox tiene razón en que el crossdomain.xml no es un requisito de la aplicación web. Según el sitio web de Adobe, crossdomain.xml es una política en forma de archivo XML que "otorga a un cliente web, como Adobe Flash Player o Adobe Acrobat (aunque no necesariamente limitado a estos), permiso para manejar datos entre dominios" [1 ].
Dicho esto, está más orientado a la protección relacionada con el comportamiento del cliente y no a los servidores en sí mismos, pero la seguridad del cliente es importante, ya que no quiere que un actor malintencionado ataque a su sitio web a través de un cliente autenticado.
Del mismo modo, puede ser una política organizativa tener una para todas las implementaciones de servidores web solo en el momento en que se utiliza el flash o se carga en el sitio a través de algún otro tipo de ataque, pero desde una perspectiva puramente tecnológica, ciertamente no es un problema. Requisito de proteger el propio servidor.
El verdadero problema de seguridad relacionado con el problema crossdomain.xml es cuando un cliente flash recibe comandos maliciosos de un servidor flash malicioso, lo que podría provocar que el cliente realice solicitudes desde su servidor utilizando las credenciales de los clientes. En este caso, si accidentalmente tuvo un archivo crosssdomain.xml mal configurado, como
Esto permitiría que los comandos de un servidor malintencionado se ejecuten como el cliente autenticado conectado a su sitio, lo que le otorga a un atacante acceso a su servidor a través de esa sesión de usuarios. Si tiene datos confidenciales, esto sería un problema.
Para protegerse de esto, sería de gran ayuda tener un configurado correctamente crossdomain.xml que restrinja estas acciones a su dominio oa un host específico.
El siguiente sitio web aborda este tema con mayor detalle, pero como respuesta rápida a su pregunta, sí, hay valor en este sentido de seguridad.
Especificación de archivo de política de dominio cruzado:
[1] Artículo de Adobe citado sobre la configuración de un archivo de política crossdomain.xml:
No, crossdomain.xml relaja la política de dominios cruzados predeterminada de Flash.
La falta de un archivo impondrá restricciones predeterminadas.
Lea otras preguntas en las etiquetas web-application flash crossdomain saas