Джо надеется получить гигабайт трафика за баннерную рекламу нового продукта корпорации WYZ, чтобы оплатить жилье в следующем месяце.

Межсайтовая информация —

без системы безопасности Flash Player

Джо Хакер хочет похитить информацию о некоторых банковских счетах. Он работает в агентстве Hipster Ad Agency, занимающемся производством рекламы для банка ReallyHuge Bank. У этого банка есть система интернет-банкинга, доступная по адресу www. reallyhugebank. com/bank. swf. Приложение bank, swf загружает рекламу из файла www. hipsteradagency. com/ad. swf. Джо изучил структуру файла bank, swf с помощью декомпилятора SWF-файлов и теперь знает, в каких переменных приложение bank, swf хранит номера банковских счетов и пароли. С преступным намерением Джо добавляет в файл ad. swf код, который считывает значения этих переменных у своего родителя bank. swf, и затем использует метод flash. net. sendToURL ( ) для отправки похищенной информации на сайт Джо. Всякий раз, когда пользователь приложения bank. swf обращается к своему счету, Джо получает номер счета и пароль.

Джо жертвует баснословно большие суммы денег организации «Гринпис».

Межсайтовая информация —

с системой безопасности Flash Player

Как и раньше, Джо добавляет в файл ad. swf код, который считывает значения нужных переменных у своего родителя bank. swf. Пользователь запускает приложение www. reallyhugebank. com/bank. swf, а оно, в свою очередь, загружает «зловредный» файл Джо www. hipsteradagency. com/ad. swf. Поскольку файл ad. swf открывается из удаленной области действия, среда выполнения Flash присваивает ему тип безопасности песочницы «удаленный». Когда файл ad. swf пытается прочитать значения переменных файла bank. swf, эта попытка блокируется, поскольку, в соответствии с табл. 19.3, удаленный SWF-файл не может использовать операции

загрузки данных для ресурсов, находящихся за пределами удаленного региона происхождения этого файла.

Джо жертвует скромную сумму денег организации «Гринпис».

Выбор локального типа безопасности песочницы

Вы получили хорошее представление о мерах безопасности, обеспечиваемых каждым типом безопасности песочниц. Кроме того, вы узнали, что SWF-файлам, открытым или загруженным из местоположений удаленной области действия, всегда присваивается тип безопасности песочницы «удаленный», а SWF-файлам, открытым или загруженным из местоположений локальной области действия, присваивается один из трех локальных типов безопасности песочниц.

Теперь поближе познакомимся с механизмами, применяемыми для выбора одного из трех локальных типов безопасности песочниц. В каждом из трех последующих разделов представлен сценарий, в котором разработчик использует один из трех локальных типов безопасности песочниц. Каждый сценарий описывает и логическое обоснование, и сам механизм для выбора каждого типа безопасности песочницы.

Компиляция локального SWF-файла с поддержкой файловой системы

Сьюзен разрабатывает приложение-календарь calendar. swf, которое будет размещаться на сайте отеля. Календарь загружает информацию о праздниках из внешнего XML-файла holiday. xml. Приложение практически готово, поэтому Сьюзен необходимо отправить его на утверждение заказчику. Несмотря на то что приложение calendar, swf со временем будет размещено на сайте, заказчик хочет показать его множеству людей в отеле. В процессе демонстрации заказчик не желает иметь постоянное подключение к Интернету. Итак, Сьюзен отправляет файлы calendar. swf и holiday. xml заказчику.