Руководство по actionscript. часть 3, стр. 086

Шпионское вложение в электронном письме — без системы безопасности Flash Player

Джо Хакер хочет похитить персональные данные Дэйва Юзера. Джо знает, что Дэйв заполняет свои налоговые декларации с помощью приложения АВСТах, работающего под управлением операционной системы Windows. Джо проводит небольшое исследование и обнаруживает, что приложение АВСТах хранит информацию о годовой налоговой декларации в XML-файле, который находится по адресу с: \ABCTax\taxreturn. xml. Если Джо сможет получить этот файл, он сможет воспользоваться содержащейся в нем информацией, чтобы открыть банковский счет и обратиться за получением кредитной карты от лица Дэйва. Итак, Джо отправляет по электронной почте письмо Дэйву, прикрепив к письму внешне безобидную анимацию cartoon, swf. Дэйв открывает электронное письмо и воспроизводит анимацию в браузере на своей локальной машине. Без ведома Дэйва файл cartoon. swf тайно использует метод URLLoader. load ( ) для получения файла taxreturn. xml из локальной файловой системы. После этого файл cartoon. swf использует метод flash. net. sendToURL ( ), чтобы выгрузить файл taxreturn. xml на сайт Джо.

Джо получает кредитную карту на имя Дэйва и покупает приставку Nintendo Wii с множеством отличных игр.

Шпионское вложение в электронном письме — с системой безопасности Flash Player

Как и раньше, Джо отправляет Дэйву электронное письмо, к которому прикреплена внешне безобидная анимация cartoon. swf. Дэйв открывает электронное письмо и воспроизводит анимацию в браузере на своей локальной машине. Поскольку файл cartoon. swf открывается из локальной области действия, приложение Flash Player проверяет, была ли включена поддержка сети при компиляции файла cartoon. swf.

Сначала предположим, что файл cartoon. swf был скомпилирован без поддержки сети. В этом случае приложение Flash Player присваивает файлу cartoon, swf тип безопасности песочницы «локальный с поддержкой файловой системы». Как и раньше, файл cartoon. swf тайно использует метод URLLoader. load ( ) для получения файла taxreturn. xml из локальной файловой системы. В соот-

ветствии с табл. 19.4 файлу cartoon. swf разрешается загрузить эти локальные данные. После этого он пытается использовать метод flash. net. sendToURL ( ), чтобы выгрузить файл taxreturn. xml на сайт Джо, однако эта попытка блокируется, поскольку локальным SWF-файлам с поддержкой файловой системы не разрешается выполнять операции flash. net. sendToURL ( ).

В предыдущих таблицах не рассматривались ограничения безопасности конкретно для метода flash. net. sendToURL(), однако, как отмечалось ранее, определить ограничения безопасности для любого метода интерфейса API приложения Flash Player можно в справочнике по языку ActionScript корпорации Adobe.

Теперь предположим, что файл cartoon. swf был скомпилирован с поддержкой сети. В данном случае приложение Flash Player присваивает ему тип безопасности песочницы «локальный с поддержкой сети». Как и раньше, файл cartoon, swf пытается тайно использовать метод URLLoader. load ( ) для получения файла taxreturn. xml из локальной файловой системы. Однако эта попытка блокируется, поскольку, в соответствии с табл. 19.5, локальные SWF-файлы с поддержкой сети не могут использовать операции загрузки данных для ресурсов в локальной области действия.

Джо вынужден покупать приставку Nintendo Wii за свои деньги.

Внутренняя корпоративная информация — без системы безопасности Flash Player

Джо Хакер хочет получить некую служебную информацию, чтобы совершить выгодную сделку на бирже. Джо раньше работал в корпорации WYZ, у которой есть общедоступный сайт www. wyzcorp. com. Джо остался в хороших отношениях с корпорацией WYZ, поэтому его наняли по контракту, чтобы обновить сведения о корпорации в файле profile. swf на сайте www. wyzcorp. com. Джо знает, что корпорация WYZ планирует выпустить важный продукт, что повлияет на стоимость акций компании. Джо также знает, что даты выпуска новых продуктов корпорации WYZ хранятся на внутреннем сайте, который находится за межсетевым экраном, по следующему адресу: strategy. wyzcorp. com/releasedates. html. Если Джо сможет тайно получить дату выпуска нового продукта, то сможет скупить акции корпорации WYZ за день до выхода этого продукта, а затем выгодно продать их.

Итак, Джо добавляет некий код в файл profile. swf, использующий метод URLLoader. load ( ), чтобы попытаться загрузить файл: strategy. wyzcorp. com/ releasedates. html. После этого сотрудник корпорации WYZ просматривает сведения о корпорации по адресу www. wyzcorp. com/profile. swf. Поскольку компьютер сотрудника находится за межсетевым экраном, он имеет доступ к сайту strategy. wyzcorp. com, поэтому попытка загрузить файл releasedates. html оказывается успешной! Без ведома сотрудника файл profile. swf использует метод flash. net. sendToURL ( ), чтобы выгрузить файл releasedates. html на сайт Джо.

Акции корпорации WYZ взлетают в цене, а Джо теперь может позволить себе заниматься любимым делом.

Внутренняя корпоративная информация — с системой безопасности Flash Player

Как и раньше, Джо размещает файл profile. swf на сайте www. wyzcorp. com, который использует метод URLLoader. load ( ), чтобы попытаться загрузить файл strategy. wyzcorp. com/releasedates. html. После этого сотрудник корпорации WYZ просматривает сведения о корпорации по адресу www. wyzcorp. com/profile. swf. Поскольку файл profile. swf открывается в удаленной области действия, среда выполнения Flash присваивает ему тип безопасности песочницы «удаленный». Когда файл www. wyzcorp. com/profile. swf пытается загрузить файл strategy. wyzcorp. com/releasedates. html, попытка блокируется, поскольку, в соответствии с табл. 19.3, удаленный SWF-файл не может использовать операции загрузки данных для ресурсов, находящихся за пределами удаленного региона происхождения этого файла.

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru

Оставить комментарий

Вы должны авторизоваться для отправки комментария.

Полезные ссылки
Случайные записи
  • 03.03.2011">Руководство по actionscript. часть 5, стр. 057
  • 03.03.2012">Windows 8 готовит смерть Android-планшетам
  • 11.03.2011">Руководство по actionscript. часть 3, стр. 152
  • 23.01.2011">Руководство по actionscript. часть 1, стр. 089
  • 23.01.2011">Руководство по actionscript. часть 1, стр. 060
  • 11.05.2010">Самоучитель по креативному веб-дизайну. Книга 1, стр.36
  • 23.01.2011">Руководство по actionscript. часть 1, стр. 072
  • 11.05.2010">Самоучитель по креативному веб-дизайну. Книга 1, стр.12
  • 10.03.2011">Руководство по actionscript. часть 4, стр. 027
  • 15.03.2011">Руководство по actionscript. часть 3, стр. 055
  • 10.05.2010">Самоучитель по креативному веб-дизайну. Книга 1, стр.53
  • 27.08.2010">Атрибуты .
  • 02.06.2010">Самоучитель по креативному веб-дизайну. Книга 3, стр.108
  • 14.06.2010">Самоучитель по креативному веб-дизайну. Книга 4, стр.61
  • 18.05.2010">Самоучитель по креативному веб-дизайну. Книга 2, стр.68
Опрос

Какие цвета вы предпочитаете?

View Results

Loading ... Loading ...