Eingabehilfen

Artikel zu Flash

 

Sicherheitsänderungen in Flash Player 8


Deneb Meketa

Deneb Meketa

Macromedia

Inhalt

  1. Einführung
  2. Gründe für die Änderung der lokalen Sicherheit
  3. Lokale Sicherheit – Grundlagen
  4. Lokale Sandboxen
  5. Lokale Sicherheit für kooperierende Medien
  6. Lokale Sicherheit – Szenarios
  7. Lokale Sicherheit – Diagramme
  8. Flash Player-Einbettung und lokale Sicherheit
  9. Änderungen, die nicht im Zusammenhang mit der lokalen Sicherheit stehen
Erstellt:
12 September 2005
Benutzer-Stufe:
Fortgeschrittene

In Flash Player 8 hat Macromedia das Sicherheitsmodell geändert, das auf lokalen Flash-Inhalt angewendet wird. Standardmäßig gelten für Flash-Anwendungen, die nicht über HTTP, sondern von einem lokalen Dateisystem ausgeführt werden, in Flash Player 8 weniger Berechtigungen als in Flash Player 7. Das neue Modell wird auf den Flash-Inhalt aller Versionen angewendet. Deshalb ist nicht nur neu erstellter Inhalt betroffen, sondern möglicherweise auch Inhalt, der vor der Einführung von Flash Player 8 veröffentlicht wurde. In diesem Artikel wird beschrieben, wie Sie die meisten Probleme beheben, die sich aus diesen Änderungen ergeben können.

Zusätzlich zum geänderten Sicherheitsmodell gelten in Flash Player 8 auch einige weitere Einschränkungen und neue Sicherheitsfunktionen. Auch diese Änderungen werden in diesem Artikel beschrieben, doch die Änderungen an der lokalen Sicherheit sind das wichtigste Sicherheitsthema in Flash Player 8.

Hinweis: Die Änderungen an der lokalen Sicherheit haben keine Auswirkungen auf Flash-Inhalt, der über HTTP bereitgestellt wird. Der Großteil des Flash-Inhalts wird über HTTP bereitgestellt und ist deshalb von diesen Änderungen nicht betroffen.

Neue Einschränkungen

Im Folgenden werden die neuen Einschränkungen in Bezug auf den Flash-Inhalt aufgelistet:

  • Lokale Sandboxen: Standardmäßig haben lokale SWF-Dateien nicht mehr die Möglichkeit, Verbindungen mit dem Internet herzustellen oder über HTTP oder mit lokalen HTML-Dateien zu kommunizieren. Wenn SWF-Dateien der Version 7 oder einer früheren Version versuchen, eine solche Aktion durchzuführen, werden die Benutzer in einem Warndialogfeld darauf hingewiesen, dass die jeweilige Aktion nicht möglich ist. Die Anzeige dieses Dialogfelds sowie Funktionsfehler bei vorhandenem Inhalt können von Endbenutzern oder Flash-Entwicklern durch die Erteilung entsprechender Berechtigungen vermieden werden.
  • Einschränkungen beim Laden: SWF- und HTML-Dateien von nicht lokalen URLs können keinen Inhalt (SWF, HTML, PNG usw.) mehr von lokalen Pfaden laden.
  • Speichern des Inhalts von Dritten: Flash Player-Benutzer können jetzt verhindern, dass die SWF-Dateien von Dritten (also Dateien, die nicht von der in der Browser-Adressleiste gezeigten Domäne stammen) permanente gemeinsame Objekte lesen oder schreiben können. Diese Einschränkung gilt nicht standardmäßig, sondern muss konkret vom Benutzer angewendet werden.
  • Standardwert für allowScriptAccess: Bei SWF-Dateien ab Version 8 hat der HTML-Parameter allowScriptAccess standardmäßig den Wert "sameDomain" anstelle von "always". SWF-Dateien, die mit Version 7 oder einer früheren Version erstellt wurden, sind davon nicht betroffen. Der Parameter allowScriptAccess steuert, ob SWF-Dateien JavaScript in HTML-Seiten aufrufen können.

Neue Sicherheitsfunktionen

Im Folgenden werden die neuen Sicherheitsfunktionen für Flash-Inhalt aufgelistet (Sicherheitsinformationen zu Flash Player 7 finden Sie im Abschnitt zu den Sicherheitsänderungen in Macromedia Flash Player 7*):

Platzhalter in allowDomain: Für System.security.allowDomain() kann jetzt das Platzhalterargument "*" angegeben werden, das den Zugriff für SWF-Dateien aus jeder Domäne ermöglicht.

Genauere Berechtigungen: System.security.allowDomain() und System.exactSettings gelten jetzt nur für die SWF-Datei, von der sie aufgerufen werden, nicht für die ganze Domäne der aufrufenden SWF-Datei. Da dies nur neuen Inhalt (ab Version 8) betrifft, ist die Abwärtskompatibilität gewährleistet.

Sichere permanente gemeinsame Objekte: Über HTTPS geladene SWF-Dateien können jetzt SharedObject-Objekte erstellen, auf die nur SWF-Dateien zugreifen können, die ebenfalls über HTTPS geladen werden. Dies spiegelt die Funktionsweise von Browser-Cookies wider und schützt die Daten in gemeinsamen Objekten vor Snooping und Änderungsbedrohungen. Vorhandene gemeinsame Objekte sind nicht betroffen.

Seite 1 von 9
Nächste Seite

Über den Autor

Deneb Mekta ist einer der Ingenieure des Macromedia Flash Player-Teams. Er hat die Sicherheitsänderungen, die Sie im Augenblick zum Wahnsinn treiben, persönlich implementiert. Er möchte sich dafür aufrichtig entschuldigen und Ihnen gleichzeitig versichern, dass diese Änderungen ihn selbst mindestens zehnmal so wahnsinnig machen wie Sie. In letzter Zeit hat Deneb seine Wochenenden damit verbracht, in der San Francisco Bay Area Drachenfliegen zu lernen.