アクセシビリティ
デベロッパーリソース

Flash記事

 

Macromedia Flash Player 7 におけるセキュリティの変更について


目次

  1. はじめに
  2. Flash Player 7 における最新の制約事項
  3. データのロードに関するセキュリティ制約
  4. ムービー間スクリプティングに関するセキュリティ制約
  5. ローカル接続に関するセキュリティ制約
  6. 共有オブジェクトおよび各種設定の保存場所

Flash Player 7 における最新の制約事項

Macromedia Flash ムービーから URL を参照してドキュメントを呼び出すことができるのは、つぎの2つのケースです。

  • ムービーのロード:Macromedia Flash ムービーは、ActionScript の MovieClipLoader.LoadCliploadMovieloadMovieNum メソッドを利用して、外部ムービーをロードすることができます。
  • データのロード: Macromedia Flash ムービーは、XML ドキュメントのロード、loadVariables スクリプト出力の読み込み、XML ソケットサーバーとの接続、これらの方法でデータをロードすることができます。

Macromedia Flash Player には、これらのコマンドのドメイン間を越えるリクエストに対して制限が設けられており、コマンドをリクエストした参照元ムービーの URL と参照先ムービーの URL が比較されます。このふたつの URL が同じドメインのものであると判定されれば、参照元と参照先間のやりとりが許可されます。ムービーのロードの場合、Macromedia Flash Player は常に loadMovie メソッドを実行しますが、リクエスト参照元ムービーの URL と参照先ムービーの URL が同一ドメインに所属すると判定されなければ、ActionScript の変数やメソッドをこれらのムービー間で共有できません。一方データのロードの場合、2つの URL が同一ドメインのものと判定されない場合、Macromedia Flash Player は、あらゆる操作の実行をすべて拒否します。

同一ドメインの判定基準に関する変更

Macromedia Flash Player 6 では、「スーパードメイン」を同一ドメインの判定基準として採用していました。www.mysite.com というドメイン名があった場合、ドメイン名の最初の部分を除いた mysite.com が、スーパードメインにあたります。

したがって Macromedia Flash Player 6 では、www.mysite.comstore.mysite.com を同一ドメインと判定し、http://www.mysite.com/myMovie.swf に配置されたムービーにおける loadMovie メソッドを利用した http://store.mysite.com/anotherMovie.swf ムービーの読み込みや http://store.mysite.com/myData.xml に配置された XML データの読み込みが許可されていました。

しかし、Macromedia Flash Player 7 からは、www.mysite.comstore.mysite.com は同一ドメインと判定されず、www.mysite.comwww.mysite.com というように完全に一致しているドメインにおいてのみ同一と判定されます。従って、Macromedia Flash Player 7 では、先述のムービーや XML データの読み込み操作をおこなえません。ただし、このドメイン間セキュリティについての新しいデフォルト設定は、のちほど詳しく説明するパーミッションを利用して変更することができます。

メモ: このような厳密なドメイン名判定は、以前から Web ブラウザに採用されています。

ムービーの配信プロトコルに関する変更

Macromedia Flash Player 6 では、URL のドメイン名のみが制限対象でした。したがって、http://www.mysite.com/myHttpMovie.swf のリクエストによって配信されたムービーからは、ActionScript の loadMovie を使用して https://www.mysite.com/mySecureMovie.swf をリクエストしてムービーをロードすることや、https://www.mysite.com/mySecureData.xml をリクエストして XML ファイルをダウンロードすることが可能でした。

Macromedia Flash Player 7 では、たとえ同一ドメイン上に存在するムービーやファイルであったとしても、HTTPS プロトコルを利用せずに配信されたムービー から HTTPS を利用して配信されるドキュメントにはアクセスできません。したがって、先述のムービーや XML データの読み込み操作は、Macromedia Flash Player 7 では許可されません。

この配信プロトコルに関する Macromedia Flash Player のデフォルト設定も、のちほど詳しく説明するパーミッションを利用して変更することができます。ただし、HTTPS プロトコルの安全性を損なわないためにもこのデフォルト設定を変更しないことをマクロメディアは推奨します。

HTTPS に関する制限は、非 HTTPS ムービーから HTTPS ドキュメントへのアクセス一方向にのみ適用され、HTTPS プロトコルを使用して配信されたムービーからは、非 HTTPS ドキュメントに通常どおりアクセスできます。

メモ: このような HTTPS、HTTP 間のリクエストに関する制限は、以前から Web ブラウザに採用されています

ページ 2 / 6
前のページ
次のページ