LAlex devblog v6 - Flash Player Security Update - Commentaires

Flash Player Security Update - stef

stef — Tue, 06 May 2008 22:51:49 +0200

Bonjour,

il y a t'il un moyen de passer par http pour charger le crossdomaine svp ?

j'utilise oregano.

Flash Player Security Update - falken80

falken80 — Fri, 25 Apr 2008 17:09:25 +0200

voila un fichier .php à executer au lancement du serveur :
( si ça marche pas essayez de le mettre en 777 ^^ et il est preferable de le lancer en root. )
<?
$policy_file='<?xml version="1.0"?>';
$policy_file.='<!DOCTYPE cross-domain-policy SYSTEM "/xml/dtds/cross-domain-policy.dtd">';
$policy_file.='<cross-domain-policy><site-control permitted-cross-domain-policies="all"/>';
$policy_file.='<allow-access-from domain="*" to-ports="*" />';
$policy_file.='</cross-domain-policy>';
if (posix_getuid()!=0) {die( "You must run this script as root.\n" );}
$sock = @socket_create( AF_INET, SOCK_STREAM, SOL_TCP );
socket_set_option($sock, SOL_SOCKET,SO_REUSEADDR, 1);
if( !$sock ) {die( "Unable to create socket.\n" );} else {echo"Create socket OK\n";}
$succ = @socket_bind( $sock, "0.0.0.0", 843 );
if( !$succ ) {die( "Unable to bind to port 843.\n" );} else {echo"Bind port OK\n";}
$succ = @socket_listen( $sock );
if( !$succ ) {die( "Unable to start listening.\n" );} else {echo"Start listening...\n";}
while( true ) {
$r = $w = $e = array( $sock );
if( @socket_select( $r, $w, $e, null ) !== false ) {
$conn = @socket_accept( $sock );
echo "Socket accepted ".$conn."\n";
if( $conn !== false ) {
socket_write( $conn, $policy_file );
echo "Send policy file :\n".$policy_file."\n";
socket_close( $conn );
} else {
echo "socket_accept() failed?\n";
break;
}
} else {
echo "socket_select() failed?\n";
break;
}
}
socket_close( $sock );
?>

Flash Player Security Update - garko

garko — Tue, 15 Apr 2008 18:08:42 +0200

Bonjour, quelqu'un aurait un exemple de crossDomain.xml pour un serveur java, celui que j'ai ne fonctionne pas.

Merci d'avance

Flash Player Security Update - garko

garko — Tue, 15 Apr 2008 18:08:35 +0200

Bonjour, quelqu'un aurait un exemple de crossDomain.xml pour un serveur java, celui que j'ai ne fonctionne pas.

Merci d'avance

Flash Player Security Update - lionel Breduillieard

lionel Breduillieard — Tue, 15 Apr 2008 15:27:56 +0200

il suffisait de demander ^_^
http://www.adobe.com/devnet/flashpl...

Flash Player Security Update - Lionel Breduillieard

Lionel Breduillieard — Sun, 13 Apr 2008 12:16:46 +0200

Merci Lalex pour cette réponse... ca me rassure

Pour en revenir à la sécurité, je trouve que c'est une bonne chose de l'améliorer. le problème, à mon sens, est qu'ils ont quasi imposé l'utilisation de serveur de crossdomain mais qu'ils ne le fournisse pas.
On se retrouve alors à devoir développer son propre serveur de socket alors que je pense que ca serait plus le rôle d'adobe de fournir cela.

I il existe toutefois une version d'un serveur de crossdomain, en perl ici » http://kb.adobe.com/selfservice/vie... perdu dans la base de support mais on est loin des trucs qu'on peut mettre sur un serveur de prod.

Flash Player Security Update - -Alexandre LEGOUT aka LAlex-

-Alexandre LEGOUT aka LAlex- — Fri, 11 Apr 2008 18:46:21 +0200

@yoy> Ah non, j'utilise un serveur de crossdomain... Ca représente une quinzaine de lignes de Java, c'est un pote qui me l'afait (d'ailleurs, si j'obtiens son autorisation, je le mettrai à dispo ici).

J'ai juste eu a faire quelques modifs dans le crossdomain.xml que celui-ci fournit.... Et le mieux est encore de le mettre sur le port 843: plus de loadPolicyFile à faire!

Mais je trouve ca plutôt normal que la sécurité des connexions socket se fasse sur un socket non? :o

Flash Player Security Update - yoy

yoy — Fri, 11 Apr 2008 14:55:52 +0200

Re,

J'ai recommencé encore mes tests sur les sockets et j'avoue que l'apparente simplicité d'utilisation sous entendu de ta réponse sur leur mise en place me laisse perplexe ou me rend curieux...

Pour permettre la connexion au socket, tu utilises "juste" un fichier crossdomain.xml (bien configuré ) sur ton serveur web. t'aurais pas un exemple, par hasard ?

Flash Player Security Update - yoy

yoy — Fri, 11 Apr 2008 13:44:32 +0200

@ Lalex : Zut... j'ai vraiment raté un trucs avec les sockets policy alors... il me semblait qu'on ne pouvait plus utiliser ce fichier via http pour des connexions sockets d'où la quasi obligation d'utilisé un serveur de socket policy.

Flash Player Security Update - Sam37

Sam37 — Fri, 11 Apr 2008 09:54:31 +0200

Pour ma part j'ai l'impression que les mises à jour sont moins bien faites... Obliger par exemple de relancer l'installation plusieurs fois pour être sûr quel soit bien prise en compte par IE et Firefox.

Flash Player Security Update - ekameleon

ekameleon — Fri, 11 Apr 2008 09:37:19 +0200

Hello

Pour moi le seul soucis de cette mise à jour c'est le temps perdu avec autant de mises à jour en si peu de temps au niveau sécurité pour maintenir les applications en production.

C'est le top d'avoir + de sécurité pour nos prochaines applications.. mais beaucoup moins marrant de devoir passer du temps à voir ce qui change sur des tas d'applications déjà en lignes et qui ne marchent plus car non compatibles avec le dernier player en date... A chaque mise à jour du player j'ai des tas de clients qui m'appellent pour me dire que leur solution ne marche plus en ligne... et je passe quelques jours à remettre tout à jour

Pour moi avant il y avait que 2 ou 3 mises à jours majeurs (grand max) entre 2 players différents maintenant on a une mise à jour plus souvant mais qui entraîne beaucoup de sueur froide

Je m'en vais tester ce nouveau player et on verra bien dans tous les cas car je suis tout de même plus que le player évolue ..

EKA+

Flash Player Security Update - -Alexandre LEGOUT aka LAlex-

-Alexandre LEGOUT aka LAlex- — Fri, 11 Apr 2008 08:52:38 +0200

@yoy> C'est au contraire bien possible a utiliser, je travaille avecles sockets tous les jours... Il suffit de completer le fichier crossdomain.xml correctement...

Les impacts dee cette modification sont dispos dans cette article sur la mise à jour du Flash player 9

Flash Player Security Update - yoy

yoy — Thu, 10 Apr 2008 20:20:17 +0200

Je sais pas si c'est lié, mais du coup ils ont encore modifié les politiques de régulation sur les sockets et maintenant les restrictions sont encore plus énormes... c'est presque impossible à utiliser du coup... dommage parce les sockets permettaient de faire des trucs assez rigolo quand même