flash でのハッキングについて。


他人のつくった.swfファイルを自分のサーバーに設置したとき、
データを抜かれたりなど、
不適切なことが起こる可能性はあるのでしょうか?

あるとすれば、対処法についてもアドバイス頂けると助かります。


例えば、フリーで配布しているflashゲームのswfファイルを
自分のサーバーに設置したとき、
そのswfからサーバー上の別ディレクトリを覗かれたり操作されたりなど、
設置することのリスクがあるのか気になっています。

回答の条件
  • 1人5回まで
  • 登録:2009/10/12 17:11:01
  • 終了:2009/10/19 09:08:34

ベストアンサー

id:makeworld No.2

makeworld回答回数75ベストアンサー獲得回数232009/10/12 19:56:44

ポイント27pt

SWFを実行するのはクライアント側なので、SWFを置いたサーバ側のセキュリティが低下することはありません。

(ただし、クライアントから漏洩した情報から、サイトが攻撃対象に選ばれる可能性はあります)

クライアント側への対策としては、Flash Playerを最新版にしてもらったり、SWFをサーバに置く前に下記のようなツールでチェックすると良いと思います。

[Security][Flex] swfの脆弱性を発見してくれる無償ツール「SWFScan」 - いそっちノート

id:onigirin

どうもありがとうございます。

少し解釈が違うようで、

swfから、自分のサーバー内のファイル、

例えば、ブラウザでアクセスできないディレクトリにアクセスしたりされると、

悪意をもったswfを設置すると、

勝手にディレクトリのファイルを操作されたり、

どこのパスにどういうファイルがあるか盗み見られて、表示されても困るなあって考えてます。

2009/10/12 20:17:48

その他の回答(2件)

id:sirotugu40 No.1

sirotugu40回答回数449ベストアンサー獲得回数142009/10/12 18:53:15

ポイント27pt

見れるのは、swfのソースのみです。

デコンパイラを使うとソースが見れます。

そのソースを見られるとハッキングできる情報があるのなら

ハッキングできます。

id:onigirin

どうもありがとうございます。

ソース内にディレクトリ名などを表示しないようにしたほうがいいですね。

2009/10/12 20:16:25
id:makeworld No.2

makeworld回答回数75ベストアンサー獲得回数232009/10/12 19:56:44ここでベストアンサー

ポイント27pt

SWFを実行するのはクライアント側なので、SWFを置いたサーバ側のセキュリティが低下することはありません。

(ただし、クライアントから漏洩した情報から、サイトが攻撃対象に選ばれる可能性はあります)

クライアント側への対策としては、Flash Playerを最新版にしてもらったり、SWFをサーバに置く前に下記のようなツールでチェックすると良いと思います。

[Security][Flex] swfの脆弱性を発見してくれる無償ツール「SWFScan」 - いそっちノート

id:onigirin

どうもありがとうございます。

少し解釈が違うようで、

swfから、自分のサーバー内のファイル、

例えば、ブラウザでアクセスできないディレクトリにアクセスしたりされると、

悪意をもったswfを設置すると、

勝手にディレクトリのファイルを操作されたり、

どこのパスにどういうファイルがあるか盗み見られて、表示されても困るなあって考えてます。

2009/10/12 20:17:48
id:yasu-log No.3

clockmaker回答回数30ベストアンサー獲得回数112009/10/12 23:22:32

ポイント26pt

swfからブラウザから不可視領域にあるようなサーバー内のファイルにアクセスすることはできません。

makeworldさんがご指摘しているように、swfの実行はクライアント側になるため、クライアント側から見れない領域にはswfからアクセスすることはできません。(ブラウザで見れない領域に対しては、swfも同様に見ることはできません)

そのため、下記の懸念については特にありません。

> 自分のサーバーに設置したとき、

> そのswfからサーバー上の別ディレクトリを覗かれたり操作されたりなど、

> 設置することのリスク

ただし、swfの実行時に(クライアントサイドで分かる情報であれば)通信処理等は任意に行えますので、全く懸念がないわけではありません。

この点については、フリーに配布しているswfでも、できればActionScriptを読める方にソースチェックしてもらうことをお勧めします。

id:onigirin

どうもありがとうございます。

それでは基本的に、サーバー側でブラウザアクセスできない領域にはアクセスできない、ということですね。

勝手に変なとこにあるファイルを読み込んで表示するswfだと困るなと思って気になっていました。

2009/10/14 17:46:09
  • id:makeworld
    すみません。説明不足でした。
    ブラウザからとSWFからのアクセス権に差分は無いので、ブラウザからアクセスできないファイルやディレクトリには、SWFからもアクセスできません。
    ただし、(SWFに限らず)サーバ自体に脆弱性がある場合は、SWFからサーバの脆弱性をチェックされて、SWFを実行したクライアントからサーバに攻撃を受けるか、又はその情報をどこかに送信される可能性はあると思います。
  • id:onigirin
    どうもありがとうございます。

    ブラウザからアクセスできるところに、
    未公開ファイルを置いておくと読まれる可能性もある、ということですね。
    (ファイル名を推測したりディレクトリ内のファイルを列挙されるとわかるかなと思って)

    となると、パスワードを含むphpやcgiプログラムをswfと同じディレクトリに入れると
    読まれる可能性も出てくるということですね。
  • id:makeworld
    はい。どこからもリンクされていなくても、辞書攻撃やブルートフォース攻撃などで、ファイルを読まれる可能性はあります。(サーバに大量のアクセスログが残るので、攻撃を受けたことはログを見ればすぐにわかります)

    phpや、cgiプログラムは、サーバで実行した結果だけが送信されるので、Webサーバの設定が間違っていなければ、ソースを読まれることはありませんが、サーバの設定変更時のオペミスなどで、プログラムが実行されずにソースが表示される可能性もあるので、公開ディレクトリ配下にはパスワードなどは置かない方が安全です。
  • id:onigirin
    どうもありがとうございます。

    やはりそういう危険性があるのですね。
    その辺りの危険性をわかった上で設置すれば
    セキュリティ的に安全性が向上しそうですね。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません