闪存和安全性

Question

1. 在安全性方面，Flash 对 Silverlight 和 Html5 的影响如何？
2. 如果我用 Flash 或 Flex 构建网站，黑客是否有可能影响 swf 对象并破坏访问者的计算机或影响他查看 swf 对象的方式？
3. 过去，Flash 不被认为是安全的，而且似乎仍然存在安全漏洞。黑客能否利用这些安全漏洞影响一般的 Flash/Flex/Air 应用程序，或者黑客是否构建了使用这些安全漏洞的 Flash 应用程序？

谢谢

Answer 1

1) 嗯，就安全性而言，HTML5 将是“最安全的”，但实际上它归结为浏览器本身。 Safari 可以在 5 秒内被入侵，而目前还没有人能够入侵 Chrome。当谈到 Flash 或 Silverlight 时，两者几乎相同，但 Flash 变得更加不稳定，因为它是最常用/最受欢迎的。这就像试图将 Windows 与 Mac 的病毒进行比较。如果有人制造了病毒（在这种情况下是黑客攻击），那么最流行的媒体将尽可能地接触到尽可能多的人。我从来没有遇到过影响我的 Flash 安全漏洞，Adobe 非常擅长在问题发生后的几周内提供补丁并让公众知道它以保护自己。它主要归结为常识。不要打开粗略的电子邮件、网站或附件。

2) 发生这种情况的唯一方法是，如果有人入侵了您的网络服务器本身并将他们自己的文件放在那里。如果不更改 swf 本身，就无法更改某些内容的显示方式。然而，人们可以做的是反编译 Flash swf 以重用您的代码或找出其他安全问题（例如服务器连接等）。像Trillix Flash Decompiler 这样的应用程序做得很好，但是生成的代码很难使用。好消息是，您可以使用像 SWFEncrypt 这样的应用程序来混淆它，这会使您的代码在反编译后无法阅读。坦率地说，如果有人可以从反编译您的代码中获得“价值”，那么您的应用程序编码不正确，而且您的系统无论如何都会存在安全问题。

3) 如果你不听那些因为崇拜史蒂夫乔布斯而大肆宣扬反闪存情绪的白痴的话，Flash 实际上是非常安全的。 Adobe 负责处理每一个重大错误，并确保该错误是公共知识以帮助用户（这对于许多公司来说不能这么说）。有些浏览器会将 Flash 沙盒化以提高安全性（Chrome 和我认为是 Firefox 4）。从本质上讲，Flash 漏洞得到了更多关注，因为 Flash 无处不在，但人们忘记了在 OS X、Safari 和 Windows 中还有更可怕的漏洞。另外，最近提到的大多数错误都与 Excel/Word 文档中嵌入的 Flash 电影有关。我的建议是你不要打开你不认识的人的粗略文档......

Answer 2

问题实际上归结为您是否要允许您的 swf 加载不受信任的内容。现在有很多 XSS 攻击是通过几乎不受信任的内容进行的，攻击媒介是 Javascript（如果您愿意，也可以是“HTML5”）。此外，随着 HTML5 允许对用户系统和数据的访问量不断增加，这只能意味着恶意用户的攻击面增加。但同样，这主要取决于您是否允许在您的页面上执行第 3 方代码...

如果您不允许第三方代码进入您的应用程序，那么除非黑客侵入您的系统并将您的 swf 替换为他们自己创建的，否则这些问题真的没有多大意义，如果黑客 做到了，那么不管是flash、silverlight还是JS，你和你的用户无论如何都会干杯。