1. ホーム
  2. 質問と答え
  3. Adob​​e Flash広告は、広告をホスティングしているサイトのユーザーアカウント名とパスワードを取得できますか?

Adob​​e Flash広告は、広告をホスティングしているサイトのユーザーアカウント名とパスワードを取得できますか?

2010-12-16 11 views
1

私はフラッシュベースの広告の最新のスタイルは、セキュリティ上のリスクと考えています。Adob​​e Flash広告は、広告をホスティングしているサイトのユーザーアカウント名とパスワードを取得できますか?

訪問したサイトの一部のページで少しのアニメーション広告のダンスを見たことがありますか?通常、それはむしろ巧妙で軽度に面白い、ボールが跳ね返ったり、車を運転したり、あなたの注意を引くために何かをしている人のビデオです。あなたの読書に興味のあるものを包括しています。これらはかなり明確な広告です。

しかし、私はちょうどFlash広告が完全にオーバーレイされたサイトから来て、ホストサイトのコンテンツをマスクしました。広告自体はもちろん第三者のサイトから来ていたので、現在のコンテンツ、オーバーレイ画像、静的コンテンツのピクセル精度を完全に得てから、派手なブレークアウトアニメーションを作成することは、デザイナーの方がはるかに巧妙でした。 でなかったのはでした。私はアニメーション、広告が実行されていたことに全く気づいていませんでした。

その間、サイトにログインするためにフィールド内をクリックし、私のユーザー名とパスワードを自発的に入力しました(同時に見ている間もテレビを見ています)。私が戻ってきたとき、フィールドにはテキストが見えませんでした。私はそれらをもう一度クリックして、入力しようとしました。何も現れなかった。その後、広告はそのアニメーションを再生しました。

明らかに、広告はページのすべてを重ねて表示していましたが、私はFlashアプリケーション自体に焦点を当てていました。私は自分のFlashアプリケーションの開発から、アプリがフォーカスを持っている間に私のキー押下を完全に記録できることを知っています。だから...

「賢い」これらの広告を作成した経験がありますか?実際のコンテンツやフィールドをオーバーレイしてユーザーエントリをキャプチャするように設計された、真に悪意のあるFlash広告への被害者の被害を防ぐものは何ですか?

出典

2010-12-16 Anonymous

+0

は、近くのためではないフラグこの質問をしてください。特に「オフトピック」なので、近いうちにフラグを立ててはいけません。この質問に答えるには、ActionScript、JavaScript、そして賢明なプログラミングスキルが必要です。セキュリティ関連の質問だと思いますが、正しいプログラミングスキルを持っている人なら、それが可能かどうかは誰にも分かります。 –

答えて

0

あなたが認識しているだけので、ページ内で実行されているフラッシュは、これは(フラッシュはJavaScriptでeval関数を呼び出すことができ、特にので)、プログラマは、彼らが望む任意のJavaScriptコードを実行することができますExternalInterface

を経由してJavaScriptに通信することができます。

フラッシュは、ページ上で実行されているため、フォームのユーザー名/パスワードフィールドにJavaScriptイベントハンドラを設定し、入力された値をキャプチャできます。フラッシュプログラムは、データで必要なものを何でも実行できます。

ログインしているサイトにログインページに広告が表示されている場合は、安全なログインではなくなりました。これは他のフォーム/ページデータにも当てはまります。あなたのオンラインバンキングは広告をフラッシュしていますか?

明確にする編集:

が広告をホスティングしているサイト用のAdobeのFlash広告取得ユーザーのアカウント名とパスワードはできますか?

はい

出典

2010-12-16 18:23:14 zzzzBov

+0

うわー!これはもっと悪く聞こえる。私はそのようなことは考えていませんでした。つまり、サイトが広告サーバーとのクロスドメインポリシーを確立し、その広告サービスが信頼できない開発者にFlash広告の作成を下請けすると、それらの開発者はJavaScriptをホストサイトに注入するFlashアプリケーションを作成する可能性があります。それは実際のテキストフィールドをマスキングすることよりも検出可能性が低い! –

+0

私はちょうどあなたの投稿を再読しました。このコメントは私に飛び降りてしまいました... "ログインしているサイトにログインページに広告が表示されると、安全なログインではなくなりました。最近私の当座預金口座ページに迷惑なバナーが表示された銀行のウェブサイトにログインしました。私は、プロキシモニタを介してhttpリクエストを見て、バナーはサードパーティのサーバから来ています。つまり、私の銀行は私の当座預金口座データのバックドアを本質的に開いていると言います。彼らは私の当座預金口座ページからデータを取り出す広告の可能性を認識していないかもしれません。 –

+0

@Michaelそれはまさに私が銀行を変えることを計画している理由です。私の現在の銀行はペーパーレスにすることを主張していますが、受け入れがたい安全なウェブサイトはありません。 XSSは強力なものです。 – zzzzBov

0

ああ、それは簡単じゃないですか?広告が掲載されていたウェブサイトは信頼できません。

ウェブサイトには、登録時に大きなのボタンが付いています。私は同意するボタン(人が頻繁に飛ばしてしまう)です。これは、個人情報が共有されないというユーザーの信頼を得るためです。&ポリシーを破ると訴訟を起こす可能性があります.....とにかく共通の条項です。

私の要点は、ウェブサイトが望むなら、とにかく自分のものを使いたいと思うならば。あなたがこれらのような広告を配置することによってあなたを騙そうとするなら、それはあなたの知識なしにあなたの情報を共有することと単純に同等です。

出典

2010-12-16 17:51:17 loxxy

+0

ウェブサイトは意図的に信頼できないサイトではありませんでした。彼らの主なビジネスは不動産です。しかし、今日のほとんどのサイトのように、サードパーティの広告サービスとのクロスドメインポリシーを確立しました。そして、彼らは割り当てられたスペースで提示された広告を直接制御しません。私は、このビジネスでは、巧妙な広告を作成するためにコンテンツをオーバーレイ(したがってコピー)した広告をデザインしたことさえ気づかなかったと強く疑う。問題はプログラミングの専門性とセキュリティ面のためにまだ開いています。この戦術を止めるためのセキュリティモデルはありませんか? –

+0

これを停止するセキュリティモデルは** sandbox **と呼ばれます。第三者のコンテンツをウェブサイトに追加する安全な方法は、iframe経由です。 iframe内のコンテンツは独自のサンドボックス内にあり、メインページのコンテンツへのアクセス権はありません。また、メインページにはiframeコンテンツへのアクセス権がありません。 – zzzzBov

+0

iframeテクニックは先ほど触れたjavascriptの注入を止めることができますが、コンテンツをオーバーレイできないように巧妙な広告を拘束しますか?アプリケーションがマウスクリックを捕まえてフォーカスを取得する可能性がありますか? –

関連する問題

 関連する問題