那麼,flash的消失是否是乙個安全利好訊息?html5是否會替代flash?如果會,那麼html5安全性能否與flash對抗?安全人員應該如何做好部署html5 web內容的準備?下面,我們將會針對這些問題展開討論。
儘管現在所有連線網際網路的計算機都安裝了flash(adobe問題不斷的web多**格式),但是似乎它很快就會被新標準html5所替代。按照adobe自己話說,「html5現在得到主流移動裝置的普遍支援,並成為建立和部署面向移動平台瀏覽器內容的最佳解決方案。」
那麼,flash的消失是否是乙個安全利好訊息?html5是否會替代flash?如果會,那麼html5安全性能否與flash對抗?安全人員應該如何做好部署html5 web內容的準備?下面,我們將會針對這些問題展開討論。
對於html5,我主要擔心的是,開發人員在未完全理解它的新特性及安全機制之前,就匆匆在**上新增html5特性。例如,跨域資源共享(cors)使web伺服器允許其他網域名稱的網頁訪問自己的資源。cors放寬了同源訪問規則(same origin rule),這是web瀏覽器內建的基礎安全措施之一。除非開發人員理解cors的工作原理,否則他們很容易做出錯誤的假設,使攻擊者能夠訪問所共享的內容。html5跨文件訊息也有相同的問題。如果使用正確,它會很安全,但是如何開發者不確保訊息來自自己的**,那麼其他**的惡意**可能會傳送欺騙性流氓訊息。基本的安全原則是,來自瀏覽器的資料都應該視為不可信資料,因此必須進行驗證。在web應用程式開發過程中,一定要檢查當前的驗證過程和過濾器,因為html5新元素和屬性可能會產生一些意外結果。應用程式內建的基於白名單的過濾器確實更具靈活性。
如果開發者使用技術的方法偏離該技術原來的目標,那麼任何技術都可能出現安全漏洞。例如,html5 web儲存標準為開發者提供了一種更靈活方法,可以替代cookie在瀏覽器上儲存資料。當然,儲存使用者敏感資料存在一定的風險,可能會受到跨站指令碼(xss)的攻擊,但是有一些**已經使用這種技術來儲存指令碼,以提高頁面載入速度。例如:為了節省時間和頻寬,前面的web服務apture使用乙個localstorage物件,快取它的應用程式邏輯**,但是與這些指令碼在同乙個域的頁面可能存在xss漏洞,可能會被利用,向快取注入惡意**。利用apture服務,惡意**可能會將漏洞變成面向所有域的持久客戶端xss攻擊。從第三方提取資料或指令碼會建立一種隱含的信任關係。開發者必須認識到這種潛在風險,理解如何在內容放到**之前對內容進行審查。
Flash生成HTML5動畫方法
方法一 利用 swiffy 將flash轉換成html5動畫。在flash原始檔編輯完成後,點選 命令 輸出為html5 swiffy 項,即可將當前fla原始檔轉換成html5動畫。同時從 output 結果輸出 視窗中就可以檢視到當前輸出的html5動畫儲存位置,以及其它相關資訊。方法二 利用 ...
解讀Adobe對於HTML5和Flash未來戰略
adobe官方新聞稿,我為大家解讀一下。主題 flash將專注於pc瀏覽和移動應用 adobe將更加積極地為html5投入貢獻 adobe仍然為合作夥伴提供源 授權許可,方便他們的整合實現需求。adobe已經開始flash player 12的開發,並且會加入大量高階的功能來提公升flash的遊戲和...
解讀Adobe對於HTML5和Flash未來戰略
adobe官方新聞稿,我為大家解讀一下。主題 flash將專注於pc瀏覽和移動應用 adobe將更加積極地為html5投入貢獻 adobe仍然為合作夥伴提供源 授權許可,方便他們的整合實現需求。adobe已經開始flash player 12的開發,並且會加入大量高階的功能來提公升flash的遊戲和...