mardi, 16 octobre 2007
AIR Security
« Flash player internals | Main | SQLLite dans AIR par Christophe Coenraets »
A mon avis, le clef du succès de AIR. Une session importante donc.
Installation Elevation attaque Injection attaques pb desktop Installation .air installation badge install rien n'est installé tabnt que l'utilisateur n'a pas été au bout de l'install signé par une chaine ou un CA approuvé (Verisign par ex) Privileges Browser (ok) -> Applet, local swf, google gears, lcal js dans ie AIR, exe, dmg Dans l'install seul endroit du choix pour l'utilisateur En résumé : install : privilège - Air comme une appli native Elevation attaque le code obtient des privilèges qu'il ne devrait pas avoir. Injection attaque code injecté dans une appli en flash Loader.loadBytes(); exemple json (car ya un eval derrière) Injection ; solutions : séparer le code et les données. Exemple pour une requête SQL : preparedStatement Attaque desktop créer fichier, acès registre ou services avec des droits d'écriture upload/download attacks Modèle de sécurité de AIR AS et javascript dans AIR a bcp plus de privilèges que ds un browser AIR 1.0 ne fait pas Guide de sécurité
Installation Elevation attaque Injection attaques pb desktop Installation .air installation badge install rien n'est installé tabnt que l'utilisateur n'a pas été au bout de l'install signé par une chaine ou un CA approuvé (Verisign par ex) Privileges Browser (ok) -> Applet, local swf, google gears, lcal js dans ie AIR, exe, dmg Dans l'install seul endroit du choix pour l'utilisateur En résumé : install : privilège - Air comme une appli native Elevation attaque le code obtient des privilèges qu'il ne devrait pas avoir. Injection attaque code injecté dans une appli en flash Loader.loadBytes(); exemple json (car ya un eval derrière) Injection ; solutions : séparer le code et les données. Exemple pour une requête SQL : preparedStatement Attaque desktop créer fichier, acès registre ou services avec des droits d'écriture upload/download attacks Modèle de sécurité de AIR AS et javascript dans AIR a bcp plus de privilèges que ds un browser AIR 1.0 ne fait pas Guide de sécurité
Posté par le 3:39 PM dans la catégorie MAX Barcelone
