crossdomain.xml и проблемы с безопасностью

Я много читал о межсайтовом скриптинге с помощью Flash, Javascript и т. д., а также нашел несколько списков веб-сайтов, у которых есть файл crossdomain.xml, разрешающий доступ с любого сервера. Например, flickr.com доверяет всем доменам.

Может ли кто-нибудь объяснить мне, почему это кажется безопасным и не приводит к атакам, таким как перехват сеанса? Это потому, что эти crossdomain.xml действительны только для поддоменов, которые не позволяют злоумышленнику получить ключ сеанса?


security crossdomain.xml session-hijacking
person Bob    schedule 14.09.2010    source источник

Ответы (1)


arrow_upward
5
arrow_downward

Использование файлов crossdomain.xml может быть очень опасным и может подвергать веб-сайты серьезным атакам. Есть два эмпирических правила, чтобы междоменные политики не открывали дыры в безопасности:

  1. Никогда не размещайте файл междоменной политики на сайте интрасети.
  2. Никогда не размещайте файл междоменной политики на сайте, использующем файлы cookie.

Допустимое использование файла междоменной политики — на таком сайте, как api.flickr.com, где есть только службы, не использующие файлы cookie.

person James Ward    schedule 14.09.2010
comment
+1 Ключевым моментом является то, что api.flickr.com не использует файлы cookie для своих служб, поэтому веб-сайт злоумышленника не может злоупотреблять учетными данными пользователей. - person Sripathi Krishnan; 14.09.2010
comment
Спасибо за ответ, вы мне очень помогли. :-) - person Bob; 14.09.2010