追記で、覚え書きです。
Adobe の中のヒトが反応してます。これってウチだけじゃないよ、と。
Adobe http://blogs.adobe.com/asset/2009/11/flash_content_and_the_same-ori.html
> Flash content and the same-origin policy - ASSET
「The researchers noticed that there are many web applications that allow end-users to upload their own content to the same domain as the web application itself. 」
今のニコ動(9)とかは same domain なの? と云うツッコミは置いておいて。(w まあ、ユーザー側では、サーバーで生成される SWF ファイルに直に細工するなんてコト、ふつー出来なかろ、と云うForeground Security の元記事に付いているコメントはその通りでしょう。
「Quoting Law #4 of Microsoft's 10 Immutable Laws of Security, "If you allow a bad guy to upload programs to your web site, it's not your web site anymore." 」
「These steps to properly managing user-generated active content uploads may be challenging, but good web security requires vigilance against this type of risk alongside all the other familiar web threats like CSS, CSRF, ...」
(クライアントサイドでは) NoScript なアプローチは SWF コンテンツにも効きます、たぶん、と云うことで(サーバーサイドでは)動画投稿サイト管理者さん達、XSS、CSRF 対策頑張ってね、と。
で、細工した SWF をエンドユーザーが直にアップロード出来る様なところをつらつらと考えるに、・・・、SkyDrive とか Google Docs とかを Anonymous な感じで使っているようなケースでしょうか? あとは、添付ファイルを付けられるような掲示板、とか、下手うった(手抜きの)中小動画投稿サイト、とか・・・?。Gmail の場合は、SWF への A タグを含む html なメールを送りつければ良いわけですよねぇ。
あと、元記事に対する日本語記事が出てます。
ITmedia News http://www.itmedia.co.jp/news/articles/0911/16/news011.html
> Flashがコンテンツ投稿サイトを危険にさらす? セキュリティ企業が指摘
一応、センテンスの末尾に "?" が付いてます。(w ( ○スポ? )
(関連)
Toggle Flash http://flash.melameth.com/
> Toggle Flash
MSI パッケージ。(VirusTotal、Result: 0/41 (0%))
Mozilla Foundation https://addons.mozilla.org/ja/firefox/addon/722
> NoScript :: Add-ons for Firefox
Mozilla Foundation https://addons.mozilla.org/ja/firefox/addon/9727
> RequestPolicy :: Add-ons for Firefox
いじょうです。
-
- -