我有一个开发人员,它让用户能够下载一个zip存档,其中包含一个引用相对javascript文件和flash文档的html文档。 flash文档接受一个嵌入在html文档中的url作为其中一个参数。我相信此存档可用作将广告转移给使用该来源在其网站上展示广告的用户的方式,但最终用户似乎希望在本地查看该广告。
当打开html文档时,会显示flash文档,当用户单击flash文档时,它会重定向到此嵌入式URL。但是,如果在桌面上提取存档并在浏览器中打开html文档并单击flash对象,则不会发生任何可观察的情况,也不会将它们重定向到外部URL。
我认为这是一种安全风险,因为有人正在从本地计算机区域转移到外部区域。
我正在尝试确定以最简单的方式向最终用户解释此安全风险的最佳方法。他们只是认为当它没有被破坏时它就会“破碎”,它们会受到保护,免受已知漏洞的侵害。
开发人员试图解释如何将文件复制到本地iis实例,我非常怀疑它是否在用户计算机上运行,我不认为这是一个可行的解释。
答案 0 :(得分:3)
我不认为这是一个问题。能够向相反方向前进,即从远程区域到本地区域的执行脚本称为“Cross Zone Scripting”。事实上,大多数recent 0-day against IE使用跨区域脚本来获取远程代码。
如果查看restrictions for Adobe Air,您可以看到Same Origin Policy在访问远程资源方面的限制性较小。我想不出这对攻击者来说有价值的场景。特别是与其他本地运行的代码比较时,例如用C ++编写的可执行文件。
答案 1 :(得分:0)
this会有用吗?这似乎意味着当它阻止本地内容时,用户会收到通知,但听起来它只是默默地失败。