いまいち、よくわかりません。
Adobe - Developer Center : Security changes in Flash Player 9
とある、ポリシーファイルが有効であるか、サーバ側で少々細かく制御できる様になったという話でしょうか?英語がさっぱりなので、優しい人の解説待ちでしょうか。
- all
- 全部のポリシーファイルを許可するのだろうか
- by-content-type
- HTTPレスポンスヘッダのContent-Typeがtext/x-cross-domain-policyのものだけ許可するのだろうか
- by-ftp-filename
- FTPの場合にcrossdomain.xmlという名前だけ許可するのだろうか
- master-only
- いわゆる、ドキュメントルート直下のcrossdomain.xmlのみ許可するのだろうか
- none
- 全てのポリシーファイルの利用を許可しないのだろうか
- none-this-response
- これはHTTPレスポンスヘッダで指示するもの?X-Permitted-Cross-Domain-Policiesにセットすれば良い?これがあるレスポンスだけについて、許可しないのだろうか
ひとまず、メタポリシーの意味がよく分からなかったので、設定とそれで出来る事に絞ってみてみました。
さて、設定の効果は何となく分かったので、どこでどうやって指示するのかですが、メタポリシーはcrossdomain.xmlとHTTPレスポンスヘッダで指示できるようです。
crossdomain.xmlで指示する場合は、ドキュメントルートのマスターポリシーファイルに記述するという事でしょうか。
HTTPレスポンスで指示する場合、none-this-response以外は常に設定が返る様にしておくべきなんでしょうか。
ひとまず、これでなんとなく雰囲気がつかめたような気になってみます。そこで、一番重要な、『メタポリシーが用意された意味』についてですが、やはり先述のドキュメントを理解しないと駄目な気がします。メタポリシーを使って、やりたい事をやる程度なら出来ると思いますが、それではあまりにアレです。
よくわからないながら、ある条件下での脆弱性(に近いもの?)が存在する為、その対策として提供される様になったのだと思っています。なので、現状の危険度を知る為にも、『何が危険なのか』を理解したいのですが、さっぱりなわけです。
共有レンタルサーバで、複数人の契約者が同じドメインを使っている場合を考えているのでしょうか。そう考えると、これまでは「安易にcrossdomain.xmlを設置できない(クライアントから好きなURLのポリシーファイルを読めた気がする)」状況だったのを、メタポリシーを使ったサーバ管理者による制御を可能にして改善しようという事に思えます。
ギブ。どなたか、優しく詳しい解説をお願いします。というか、会社の英語の中の人、よろしくです。
コメントする