Flashのmeta-policyって?

いまいち、よくわかりません。
Adobe - Developer Center : Security changes in Flash Player 9

とある、ポリシーファイルが有効であるか、サーバ側で少々細かく制御できる様になったという話でしょうか?英語がさっぱりなので、優しい人の解説待ちでしょうか。

all
全部のポリシーファイルを許可するのだろうか
by-content-type
HTTPレスポンスヘッダのContent-Typeがtext/x-cross-domain-policyのものだけ許可するのだろうか
by-ftp-filename
FTPの場合にcrossdomain.xmlという名前だけ許可するのだろうか
master-only
いわゆる、ドキュメントルート直下のcrossdomain.xmlのみ許可するのだろうか
none
全てのポリシーファイルの利用を許可しないのだろうか
none-this-response
これはHTTPレスポンスヘッダで指示するもの?X-Permitted-Cross-Domain-Policiesにセットすれば良い?これがあるレスポンスだけについて、許可しないのだろうか

ひとまず、メタポリシーの意味がよく分からなかったので、設定とそれで出来る事に絞ってみてみました。

さて、設定の効果は何となく分かったので、どこでどうやって指示するのかですが、メタポリシーはcrossdomain.xmlとHTTPレスポンスヘッダで指示できるようです。
crossdomain.xmlで指示する場合は、ドキュメントルートのマスターポリシーファイルに記述するという事でしょうか。
HTTPレスポンスで指示する場合、none-this-response以外は常に設定が返る様にしておくべきなんでしょうか。

ひとまず、これでなんとなく雰囲気がつかめたような気になってみます。そこで、一番重要な、『メタポリシーが用意された意味』についてですが、やはり先述のドキュメントを理解しないと駄目な気がします。メタポリシーを使って、やりたい事をやる程度なら出来ると思いますが、それではあまりにアレです。

よくわからないながら、ある条件下での脆弱性(に近いもの?)が存在する為、その対策として提供される様になったのだと思っています。なので、現状の危険度を知る為にも、『何が危険なのか』を理解したいのですが、さっぱりなわけです。

共有レンタルサーバで、複数人の契約者が同じドメインを使っている場合を考えているのでしょうか。そう考えると、これまでは「安易にcrossdomain.xmlを設置できない(クライアントから好きなURLのポリシーファイルを読めた気がする)」状況だったのを、メタポリシーを使ったサーバ管理者による制御を可能にして改善しようという事に思えます。

ギブ。どなたか、優しく詳しい解説をお願いします。というか、会社の英語の中の人、よろしくです。

プロフィール

このブログ記事について

このページは、koshigoeが2007年12月19日 22:17に書いたブログ記事です。

ひとつ前のブログ記事は「セラムヒート(屋内用)を買ってきた」です。

次のブログ記事は「MacPortsのPHP5がインストールできない件」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。