태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.



http://blogs.soph-ware.com/?p=14

SWF의 보안을 위한 한가지 방법입니다..글에도 씌어 있듯이 완벽한 방안은 될 수 없지만 해커의 역량에 따라 또는 집중력에 따라 귀찮아서 디컴파일 시도를 하지 않도록 막을 수는 있습니다..

플래시에서 바이너리를 이용할 수 있게 되면서부터 이러한 시도가 많아지고 있는데요..저희 팀에서도 이와 같은 방법을 통해 디컴파일을 막고 있습니다..완전한 보안을 위해 좀 더 획기적인 방안이 나와야 겠지만요..






신고
Posted by 원강민


Flash Player 9 Update 3(9,0,115,0) 이후부터는 소켓통신을 위해서 소켓 정책 파일을 필요로 합니다..

간단히 설명하자면..몇가지 보안 이슈들로 인해 플래시 플레이어는 이전 방식의 crossdomain.xml 대신 아래와 같은 소켓 정책 파일(이름은 상관없습니다..crossdomain.xml도 됩니다..)을 서버의 843포트를 통해 전달받아 1024이상의 포트에 접근합니다..

<cross-domain-policy>
    <site-control permitted-cross-domain-policies="master-only"/>
    <allow-access-from domain="*.apollocation.co.kr" to-ports="1280"/>
</cross-domain-policy>

[Flash Player 9의 보안 변경 사항 문서]
http://www.adobe.com/kr/devnet/flashplayer/articles/fplayer9_security.html

{해결 방법}
http://panzergruppe.hp.infoseek.co.jp/fspfd.html

위 사이트에서 제공하는 2개의 파일을 서버의 같은 폴더에 다운로드 받고 c 파일을 컴파일 하면 됩니다..

플래시(플렉스)에서는 Security.loadPolicyFile();를 호출할 필요없이 그냥 소켓을 연결하면 됩니다..

도움주신 막강 서버(+DB)개발자 장정철, 임지혁님께 감사드립니다..(_ _)
동근이도 땡큐^^

Good luck~ : )






신고
Posted by 원강민
Adobe AIR2008.03.21 18:19


http://download.macromedia.com/pub/air/documentation/1/air_security.pdf

http://download.macromedia.com/pub/air/documentation/1/air_htmlsecurity.pdf

몇번에 걸쳐 읽어본 결과 HTML 보안은 Frame 또는 IFrame을 이용하여 AIR의 어플리케이션 샌드박스에 위배되는 작업은 Frame 내에서 작업하라는 말 같네요..그 둘을 왔다갔다 하면서 작업하는걸 Bridge라고 명명하구요..FABridge처럼..eval()의 경우 문자열로 어떤 작업을 수행할지 예상할 수 없기 때문에 어플리케이션 샌드박스에서는 사용을 제한하는거 같습니다..

3페이지에 있는 이미지 (Sandbox Bridge)에 정리가 잘 되있네요..그 이미지를 이해하시면 될 듯 합니다..








신고
Posted by 원강민


2007년 12월 11일 이후, 버젼 9.0.115 이상의 플레이어에서는 HTML 페이지에서의 SWF 링크가 제한 된다네요..

아래 글을 참고하세요..

http://blog.naver.com/hiddenid/40045494648


현재 게임을 개발하고 있어서 웹페이지와의 상호작용에 대해서는 잘 모르고 있었는데 이런 문제가 있었네요..개발에 제약사항이 점점 더 많아지는군요..
하지만, 더 나아지기 위함이니 수긍하고 빨리 따라가야겠죠..






신고
Posted by 원강민

티스토리 툴바