Dans Flash Player 8, Macromedia a modifié le modèle de sécurité qui est appliqué au contenu Flash local. Par défaut, les privilèges des applications Flash exécutées depuis le système de fichiers local d'un utilisateur plutôt que par HTTP sont plus limités dans Flash Player 8 que dans Flash Player 7. Ce modèle s'appliquant au contenu Flash quelle qu'en soit la version, le contenu publié avant la sortie de la version 8 de Flash Player peut être affecté, comme celui créé après sa sortie. Cet article permet de corriger la plupart des problèmes liés à ces modifications.

Outre le changement de modèle de sécurité, Flash Player 8 introduit quelques restrictions supplémentaires et de nouvelles fonctionnalités de sécurité que cet article décrit également. Cependant, les modifications de la sécurité locale sont de loin le plus gros changement apporté à la sécurité de Flash Player 8.

Remarque : Ces modifications de la sécurité locale n'affectent pas le contenu Flash obtenu via HTTP. La majorité du contenu Flash passe par HTTP et ne doit donc pas être affecté par ces modifications.

Nouvelles restrictions

Voici les nouvelles limites imposées au contenu Flash :

• Sandbox locaux : Par défaut, les fichiers SWF locaux n'ont plus accès à Internet, ne peuvent plus exécuter d'échanges HTTP, ni communiquer avec les fichiers HTML locaux. Lorsque des fichiers SWF de version 7 ou antérieure tentent d'effectuer l'une de ces actions, une boîte de dialogue signale aux utilisateurs que l'opération est impossible. L'aspect de la boîte de dialogue et les ruptures du contenu existant peuvent être modifiés par les utilisateurs ou les développeurs Flash en définissant les autorisations appropriées.
• Restrictions de chargement : Le contenu SWF et HTML issu d'URL non locales peut ne plus charger le contenu (SWF, HTML, PNG, etc.) provenant de chemins locaux.
• Stockage tiers : Les utilisateurs de Flash Player peuvent maintenant choisir d'empêcher les fichiers SWF tiers (provenant de domaines autres que celui qui s'affiche dans la barre d'adresses du navigateur) de lire ou d'écrire des objets partagés persistants. Cette restriction n'est pas appliquée par défaut. Les utilisateurs doivent l'activer explicitement.
• allowScriptAccess par défaut : Pour les fichiers SWF de version 8 et ultérieures, le paramètre allowScriptAccess HTML est par défaut 'sameDomain' plutôt que 'always'. Cela n'affecte pas les fichiers SWF de la version 7 ou des versions antérieures. Le paramètre allowScriptAccess indique si les fichiers SWF peuvent faire appel à du code JavaScript dans des pages HTML.

Nouvelles fonctionnalités de sécurité

Voici les nouvelles fonctionnalités de sécurité du contenu Flash (pour plus d'informations sur la sécurité relative à Flash Player 7, consultez la page Modifications de la sécurité dans Macromedia Flash Player 7*) :

Caractère générique allowDomain : System.security.allowDomain() accepte maintenant l'argument de caractère générique « * » qui autorise l'accès des fichiers SWF depuis n'importe quel domaine.

Autorisations plus précises : System.security.allowDomain() et System.exactSettings ne s'appliquent à présent qu'au fichier SWF qui les appelle, et non plus à l'ensemble du domaine de ce fichier. Cette restriction ne concerne que le nouveau contenu (version 8+) ; la compatibilité ascendante est donc préservée.

Objets partagés, persistants et sécurisés : Les fichiers SWF chargés via HTTPS peuvent maintenant créer des objets SharedObject éventuellement accessibles uniquement aux fichiers SWF également chargés via HTTPS. Cela rappelle le comportement des cookies des navigateurs et permet de protéger les données stockées dans des objets partagés contre les risques de repérage et d'altération. Les objets partagés existants ne sont pas affectés.

Page 1 sur 9

Page suivante

A propos de l'auteur