番外編第1回 Flashとポリシーファイルの密接なカンケイ
杉山 俊春三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2007/1/30
(Illustrated by はるぷ)
ポリシーファイルの影響を個別ディレクトリに限定する
| 高橋さん | 「ただいまー。いやー。やっぱり朝から客先ってのは眠いねー」 |
| 赤坂さん | 「あ! ちょうどいいとこにきた。ちょっと教えてほしいんですけど……」 |
赤坂さんは客先から帰ってきた高橋さんを捕まえると、Flashのポリシーファイルについて状況を説明した。
| 高橋さん | 「Flashに手を出し始めたんだー。なるほどね。それ、俺も前に悩んだことあるよ」 | |
| 赤坂さん | 「なんか、考えたんですけど、Flashとの連携は別のサーバ(異なるFQDN)でやるしかないんじゃないかなぁとしか思いつかなくて」 | |
| 高橋さん | 「うん。それは正しいね。できる限り、同じサーバ上にいろんなものを混在させない方がいいね。問題が複雑になるし。今回の場合はFQDNが変わればいいからバーチャルホストで分けるとかでもいいかな……」 | |
| 赤坂さん | 「やっぱそうですよねぇ……」 | |
| 高橋さん | 「でも、同じFQDNでも読み取り可能なコンテンツをディレクトリごとに限定することができるよ」
|
|
| 赤坂さん | 「お、ホントですか?」 |
ポリシーファイルはデフォルトではドキュメントルート直下に配置する仕組みとなっているが、特定のディレクトリ配下に設置することも可能である。特定のディレクトリ配下にポリシーファイルを設置することで、Flash側からの読み込みをそのディレクトリ配下のみに限定することが可能となる。
この場合、サーバ側でポリシーファイルの設置位置を変更するだけではなく、読み込むFlash側のActionScriptでも変更を加える必要がある。
| var send_lv = new LoadVars(); var load_lv = new LoadVars(); load_lv.onData = function (str) { result = str; }; System.security.loadPolicyFile('http://www.example2.co.jp/test/crossdomain.xml'); send_lv.sendAndLoad('http://www.example2.co.jp/test/test.html', load_lv, "GET"); |
| ActionScriptの例 |
| 赤坂さん | 「おー。できたできた。さすが高橋さんですね」 |
| 星野君 | 「なるほど……。連携できて便利だー、ってくらいしか考えたことなかったから、そんなのやったことなかったです」 |
| 高橋さん | 「いま思い出したけど、この話、前に赤坂さんとした記憶があるよ」 |
| 赤坂さん | 「あれ……、そうでしたっけ……」 |
| 高橋さん | 「まあ、いいか……。いつものことだし……」 |
Flashは徐々にWebにおいては欠かせないものになってきている。赤坂さんは、今回初めてFlashに真剣に接したのだが、もっと深くFlashについて知る必要があると感じた。赤坂さんのFlashに対する挑戦はまだまだ始まったばかりだ。
次回予告:
加速する赤坂さんのFlashへの挑戦。 赤坂さんが次に見つけるものとは……?
 赤坂さんのFlash・チェックポイント! Check! ポリシーファイルの許可設定範囲には気を付けよう 動けばいいという理由で、domain属性をワイルドカードにしがちであるが、サービス提供範囲を明確にし、最小限のアクセス許可にする必要がある。Check! ポリシーファイルを設置する場合は、同一サーバ上のほかの サービスに気を配ろう ドキュメントルート直下にポリシーファイルを設置してしまうと、同一サーバ上のほかのWebアプリケーションに影響が及んでしまう。Webアプリケーションがセキュアであっても、情報漏えいにつながる場合があるため、ポリシーファイルは必要なディレクトリ配下のみにする必要がある。Check! 連携先のセキュリティ状況も考慮しよう ポリシーファイルを正しく最小限に設定しても、連携先が踏み台にされる可能性がある。連携先からの悪意あるアクセスも考慮に入れる必要がある。 |
 |
3/3 |
| Index | |
| Flashとポリシーファイルの密接なカンケイ | |
| Page1 Flashで外部サイトとの連携は簡単? |
|
| Page2 Flashとポリシーファイルの関係 ポリシーファイルが情報漏えいのきっかけになる?! |
|
 |
Page3 ポリシーファイルの影響を個別ディレクトリに限定する |
| Profile |
| 杉山 俊春(すぎやま としはる) 三井物産セキュアディレクション株式会社 テクニカルサービス事業部検査グループ コンサルタント セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。 |
 |
星野君のWebアプリほのぼの改造計画 連載インデックス |
Security&Trust フォーラム 新着記事
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
Copyright © ITmedia, Inc. All Rights Reserved.