番外編第1回 Flashとポリシーファイルの密接なカンケイ

杉山 俊春
三井物産セキュアディレクション株式会社
テクニカルサービス事業部
コンサルタント
2007/1/30
(Illustrated by はるぷ)

 ポリシーファイルの影響を個別ディレクトリに限定する

高橋さん 「ただいまー。いやー。やっぱり朝から客先ってのは眠いねー」
赤坂さん 「あ! ちょうどいいとこにきた。ちょっと教えてほしいんですけど……」

 赤坂さんは客先から帰ってきた高橋さんを捕まえると、Flashのポリシーファイルについて状況を説明した。

高橋さん 「Flashに手を出し始めたんだー。なるほどね。それ、俺も前に悩んだことあるよ」
赤坂さん 「なんか、考えたんですけど、Flashとの連携は別のサーバ(異なるFQDN)でやるしかないんじゃないかなぁとしか思いつかなくて」
高橋さん 「うん。それは正しいね。できる限り、同じサーバ上にいろんなものを混在させない方がいいね。問題が複雑になるし。今回の場合はFQDNが変わればいいからバーチャルホストで分けるとかでもいいかな……」
赤坂さん 「やっぱそうですよねぇ……」
高橋さん 「でも、同じFQDNでも読み取り可能なコンテンツをディレクトリごとに限定することができるよ」
【注】
ただし、Flash側とWebサーバ側でURLの解釈が異なる場合を除く。例えば、Apache-Tomcat連携のようにWebサーバ側がhttp://www.example.co.jp/flash/%252e%252e/victim/などの「%252e%252e/」を「../」と解釈し、http://www.example.co.jp/victim/のコンテンツを返す場合など
赤坂さん 「お、ホントですか?」

 ポリシーファイルはデフォルトではドキュメントルート直下に配置する仕組みとなっているが、特定のディレクトリ配下に設置することも可能である。特定のディレクトリ配下にポリシーファイルを設置することで、Flash側からの読み込みをそのディレクトリ配下のみに限定することが可能となる。

 この場合、サーバ側でポリシーファイルの設置位置を変更するだけではなく、読み込むFlash側のActionScriptでも変更を加える必要がある。

var send_lv = new LoadVars();
var load_lv = new LoadVars();
load_lv.onData = function (str) {
result = str;
};
System.security.loadPolicyFile('http://www.example2.co.jp/test/crossdomain.xml');
send_lv.sendAndLoad('http://www.example2.co.jp/test/test.html', load_lv, "GET");
ActionScriptの例

赤坂さん 「おー。できたできた。さすが高橋さんですね」
星野君 「なるほど……。連携できて便利だー、ってくらいしか考えたことなかったから、そんなのやったことなかったです」
高橋さん 「いま思い出したけど、この話、前に赤坂さんとした記憶があるよ」
赤坂さん 「あれ……、そうでしたっけ……」
高橋さん 「まあ、いいか……。いつものことだし……」

 Flashは徐々にWebにおいては欠かせないものになってきている。赤坂さんは、今回初めてFlashに真剣に接したのだが、もっと深くFlashについて知る必要があると感じた。赤坂さんのFlashに対する挑戦はまだまだ始まったばかりだ。

次回予告:

 加速する赤坂さんのFlashへの挑戦。 赤坂さんが次に見つけるものとは……?


赤坂さんのFlash・チェックポイント!

 Check!
  ポリシーファイルの許可設定範囲には気を付けよう
動けばいいという理由で、domain属性をワイルドカードにしがちであるが、サービス提供範囲を明確にし、最小限のアクセス許可にする必要がある。
 Check!
  ポリシーファイルを設置する場合は、同一サーバ上のほかの
  サービスに気を配ろう
ドキュメントルート直下にポリシーファイルを設置してしまうと、同一サーバ上のほかのWebアプリケーションに影響が及んでしまう。Webアプリケーションがセキュアであっても、情報漏えいにつながる場合があるため、ポリシーファイルは必要なディレクトリ配下のみにする必要がある。
 Check!
  連携先のセキュリティ状況も考慮しよう
ポリシーファイルを正しく最小限に設定しても、連携先が踏み台にされる可能性がある。連携先からの悪意あるアクセスも考慮に入れる必要がある。

3/3

 

Index
Flashとポリシーファイルの密接なカンケイ
  Page1
Flashで外部サイトとの連携は簡単?
  Page2
Flashとポリシーファイルの関係
ポリシーファイルが情報漏えいのきっかけになる?!
Page3
ポリシーファイルの影響を個別ディレクトリに限定する

星野君のWebアプリほのぼの改造計画 番外編 バックナンバー


Profile
杉山 俊春(すぎやま としはる)

三井物産セキュアディレクション株式会社
テクニカルサービス事業部検査グループ
コンサルタント

セキュリティコンサルタントとして、主にWebアプリケーションのセキュリティ検査などに従事している。大手就職活動支援サイト、ショッピングサイトなどの検査実績を持つ。

星野君のWebアプリほのぼの改造計画 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH