=================================
=================================
=================================
출처: http://www.cyworld.com/streammx/4834970
AS3.0 플래시 보안 : Security 클래스
조회 380 스크랩 1
플래시 보안의 기본개념 - 센드박스 보안
- 센드박스란 같은 상자안의 모래상자에는 보안이 필요없고, 다른 상자안에 있는 모래와는 보안을 해야하는 개념.
- 샌드박스 보안이 플래시에 적합한 이유는 샌드박스 개념이 도메인 이름과 연관 관계를 가지고 있기 때문.
- 다음과 같은 경우에 있어서 서로 다른 샌드 박스로 인식함.
해당 주소 중 유념히 살펴봐야 할 부분이 http 와 https 프로토콜이다. 같은 서버있지만 서로 다른 샌드박스로 인식하고 있다는 것이다. 흔히 개발자들은 '사용하고자 하는 데이터가 다른 서버에 존재할 때만 보안문제가 발생한다'라고 알고있다. 그러나 플래시에서는 '프로토콜이 다를 때도 보안문제가 발생할 수 있다'라는 걸 알 수 있다.
플래시 보안 4대 요소
- Adobe : Adobe - Flash Player 설정 관리자 - 전역 보안설정 패널
- 사용자 : Adobe - Flash Player 설정 관리자 - 전역 보안설정 패널
- 사이트 운영자 : crossdomain.xml, html( allowNetworking )
- 플래시 개발자 : Security.allowDomain("example.com"), LoaderContext.checkPolicyFile = true;
Security 클래스 함수 및 속성
- sandboxType : String
샌드박스 데이터형 반환.
- exactSettings : Boolean
도메인 체크 방식 기본 'true'로 설정하는게 좋음. 'false'이면 'www.sample.com' 을 'sample.com'으로 인식.
도메인을 등록하는 allowDomain과 allowInsecureDomain 함수에 적용.
- allowDomain( ..domains ): void
해당 도메인들을 허가해주는 Cross-Script 핵심문구. 외부서버에 있는 SWF파일 로드 시 사용.
- allowInsecureDomain( ..domains ): void
해당 도메이들을 security=false해서 https방식으로 보안.
- loadPolicyFile( url: String ): void
도메인 허가를 외부 보안 정책 xml로부터 허가. 외부서버에 있는 데이터파일( xml, text ) 로드 시 사용.
- showSettings( panel:String = "default" ): void
보안 정책 관련 셋팅 화면 표시.
HTML에서 원격 보안
<object>
<param name="allowNetworking" value="none" />
<embed>
//생략
</embed>
</object>
allowNetworking 파라메타에 추가할 수 있는 값.
- all( default ) network 관련 명령어 모두 사용 가능.
- internal 다른 사이트로 이동하는 브라우저관련 명령어만 사용 불가.
- none 모든 network 기능 불가. SWF-SWF간 통신 불가.
Loader 클래스와 LoaderContext 클래스
Loader 클래스는 이미지 파일과 swf 파일을 로딩한 후, DisplayObjectContainer에 삽입이 가능한 DisplayObject.
LoaderContext 클래스는 Loader 클래스를 사용할 때 보안샌드박스 관련 제어를 하도록 3개의 속성을 지원.
- checkPolicyFile: Boolean = false
기본 'false' 설정.
로딩전 cross-domain.xml(보안 정책 파일) 보안 정책 파일 체크 여부.
외부 서버에 있는 이미지 파일을 로드하기 전에 먼저 보안 정책 파일이 있는지 여부를 먼저 체크 후 이미지 로딩.
보안 정책 파일이 없거나, 설정이 false인 경우 외부 서버에 있는 이미지 로드 시 보안에러 발생.
- applicatioinDomain : ApplicationDomain = null
SWF파일을 다운로드하는 경우에만 유효한 속성.
응용 프로그램 도메인은 보안을 위한 것이 아니며 서로 관련된 ActionScript 코드 단위를 관리하기 위한 것입니다.
예제)
kor 과 en 이라는 폴더에 같은 파일명( Sample.as )의 클래스가 있다고 했을 때 메인에서 이 두파일을 로드하게 되면 서로 같은 클래스명을 갖고 있기 때문에 마지막로드된 클래스로 속성 및 메서드가 대체되는 문제가 발생합니다.
이 때 LoaderContext.applicatioinDomain = new ApplicationDomain(); 새로운 도메인을 설정해주어 여러 클래스를 구분해주면 해결됩니다.
- securityDomain: SecurityDomain = null
SWF파일을 다운로드하는 경우에만 유효한 속성.
보안 도메인을 선택하는 이유
첫째 - 로드하는 SWF 파일이 같을 경우.
자신의 도메인에서 SWF 파일을 로드하면 파일이 항상 자신의 보안 도메인에 배치됩니다.
둘째 - 다른 도메인(다른 서버)일 수 있는 SWF 파일을 로드하는 경우에만 의미가 있음.
다른 도메인의 SWF 파일을 로드할 때는 두 가지 옵션이 있습니다.
로드되는 SWF 파일이 로드하는 SWF 파일의 보안 도메인과 다른 "고유의" 보안 도메인에 배치되도록 할 수 있으며,
이는 기본 옵션입니다.
다른 옵션은 myLoaderContext.securityDomain을 SecurityDomain.currentDomain으로 설정하여 로드되는 SWF 파일이 로드하는 SWF 파일과 같은 보안 도메인에 배치되도록 지정하는 것입니다. 이를 '가져오기 로딩'이라고 하며, 보안을 위해 로드되는 SWF 파일을 자신의 서버로 복사한 다음 로드하는 것과 같습니다. 가져오기 로딩에 성공하려면 로드되는 SWF 파일의 서버에 로드하는 SWF 파일의 도메인을 신뢰하는 정책 파일이 있어야 합니다.
=================================
=================================
=================================
출처: http://webprogrammer.tistory.com/2196
Although I use AMFPHP RemoteObjects with the Cairngorm Framework everyday, I never had a need for a simple LocalConnection. LocalConnections let you communicate between running SWFs, the only problem is that they are unidirectional. SWF A can make a new LocalConnection to SWF B and invoke it’s methods, but SWF B can’t contact SWF A. The way to get around this is to make another LocalConnection back from SWF B to SWF A. Trying to wrap my head around receiving and sending connections was starting to make me angry! They are annoyingly misleading – the receiving SWF needs to .connect() to a named connection, whereas the sending SWF doesn’t – it just calls .send() with the same named connection. I figured I could do the world a favor and abstract this confusion for you.
Here is the result (demonstrated with a Flex SWF and a Flash SWF):
Flex SWF
Flash SWF
In both the Flex MXML and the Flash FLA, I am including my BiDirLocalConnection class and it does all the hard work for me.
To make this bidirectional concept easier to handle, I introduced something called Roles. There are two roles available to your SWFs: Master and Slave. You must pick one of these roles when you instantiate the BiDirLocalConnection Object. If you have more than one running SWF in a given Role you will get an error on the newest one.
Here’s an example of how to use the class in Flex:
import net.teratechnologies.common.BiDirLocalConnection;
private var connection:BiDirLocalConnection;
private function init():void{
connection = new BiDirLocalConnection(BiDirLocalConnection.ROLE_MASTER,this);
connection.connect();
}
The constructor takes three arguments (the third is optional):
BiDirLocalConnection(role:String,callbackScope:Object,connectionBaseName:String="BiDirConnection")
- role: The role of this SWF (ROLE_MASTER or ROLE_SLAVE)
- callbackScope: When a SWF connects to this one and tries to invoke a method (call a function), where should it look to find the method? Normally you specify this so the remote SWF has access to the functions in your current scope.
- connectionBaseName: This optional argument is only required if you have more than one BiDirLocalConnection at the same time. You can use any string here and it will serve as the prefix for the two LocalConnection connectionNames that are used.
Here is the complete code from the Slave in Flash CS3 as seen above. There are three things on the stage: TextArea (receiveText), TextInput (sendText) and a Button (sendButton):
import net.teratechnologies.common.BiDirLocalConnection;
var connection:BiDirLocalConnection;
function init():void{
sendButton.addEventListener(MouseEvent.CLICK,send);
connection = new BiDirLocalConnection(BiDirLocalConnection.ROLE_SLAVE,this);
connection.connect();
}
function send(e:Event):void{
connection.send('showText',sendText.text);
}
function showText(t:String):void{
receiveText.text = "Received: "+t+"\n"+receiveText.text;
}
init();
stop();
Now here is the complete code for the Flex MXML file:
<?xml version="1.0" encoding="utf-8"?>
<mx:Application xmlns:mx="http://www.adobe.com/2006/mxml" layout="vertical" creationComplete="init()">
<mx:Script>
<![CDATA[
import net.teratechnologies.common.BiDirLocalConnection;
private var connection:BiDirLocalConnection;
private function init():void{
sendButton.addEventListener(MouseEvent.CLICK,send);
connection = new BiDirLocalConnection(BiDirLocalConnection.ROLE_MASTER,this);
connection.connect();
}
private function send(e:Event):void{
connection.send('showText',sendText.text);
}
public function showText(t:String):void{
receiveText.text = "Received: "+t+"\n"+receiveText.text;
}
]]>
</mx:Script>
<mx:Panel width="100%" height="100%" layout="absolute" title="Flex 2/3">
<mx:TextArea id="receiveText" right="10" bottom="39" left="10" top="10."/>
<mx:TextInput id="sendText" left="10" right="72" bottom="10"/>
<mx:Button label="Send" id="sendButton" right="10" bottom="10"/>
</mx:Panel>
</mx:Application>
It really is quite simple, the SWFs are calling each other’s “showText” functions with the text of the TextInput box as an argument. You can pass as many arguments as you want to connection.send(), and they don’t need to be simple Strings.
Finally, here is the ActionScript Code for the BiDirLocalConnection class itself:
package net.teratechnologies.common {
import flash.net.LocalConnection;
public class BiDirLocalConnection{
public static const ROLE_MASTER:String = "master";
public static const ROLE_SLAVE:String = "slave";
private var txConnName:String;
private var rxConnName:String;
private var txLC:LocalConnection = new LocalConnection();
private var rxLC:LocalConnection = new LocalConnection();
private var callbackScope:Object;
public function BiDirLocalConnection(role:String,callbackScope:Object,connectionBaseName:String="BiDirConnection"){
if(role == ROLE_MASTER){
txConnName = connectionBaseName + "_TX";
rxConnName = connectionBaseName + "_RX";
}else{
rxConnName = connectionBaseName + "_TX";
txConnName = connectionBaseName + "_RX";
}
this.callbackScope = callbackScope;
}
public function connect():void{
trace(rxConnName);
rxLC.connect(rxConnName);
rxLC.client = callbackScope;
}
public function send(methodName:String,...rest):void{
txLC.send(txConnName,methodName,rest);
}
}
}
=================================
=================================
=================================
출처: http://webprogrammer.tistory.com/2204
flash swf 에서 flex swf 파일 로드하기...
var loader:Loader = new Loader();
addChild(loader);
loader.load(new URLRequest("my-flex-app.swf"));
loader.addEventListener("mx.managers.SystemManager.isBootstrapRoot", systemManagerHandler);
loader.addEventListener("mx.managers.SystemManager.isStageRoot", systemManagerHandler);
function systemManagerHandler(event:Event):void { event.preventDefault(); }
이거때문에 삽질했음...T.T
=================================
=================================
=================================
출처: www.zdnet.co.kr
[플래시 MX를 이용한 SW 개발] ③ 보안과 플래시 리모팅 이승준 <iframe style="DISPLAY: none" name=hiddenSendTo width=0 height=0></iframe> 2004/08/17 |
연재순서 1회. 기본적인 HTTP 통신 2회. XML과의 찰떡궁합 3회. 보안과 플래시 리모팅 (끝) |
엔터프라이즈 애플리케이션에서 보안은 필수적인 요소이다. 이번 호에서는 플래시의 보안 이슈와 XML 웹 서비스를 이용하는 또 다른 강력한 방법인 플래시 리모팅에 대해 살펴본다. 지난 호에서 우리는 플래시에서 XML을 어떻게 다루고 XML 통신을 어떻게 하는지에 대해 살펴봤다. 하지만 간편하면서도 훨씬 강력한 방법이 제공되는데 그것이 바로 ‘플래시 리모팅(Flash Remoting)’이다. 플래시 리모팅은 주로 XML 웹 서비스를 이용하기 위해 玲淪舊嗤? 닷넷 리모팅(.NET Remoting)이나 자바 RMI와 비슷하다. 즉, 리모팅을 통해 원격(서버 사이드)에 있는 메쏘드를 호출할 수 있다. 내부적으로는 SWF(플래시 플레이어에서 수행되는 플래시 파일을 가리킴)의 통신 기능을 플래시 리모팅 컴포넌트를 통해 확장한 것으로, 통신 프로토콜 자체는 플래시의 고유한 방법으로 구현되어 있다. 플래시 리모팅 플래시 리모팅은 SOAP 기반의 웹 서비스를 통합하기 위한 서버측 도구(실제로 웹 서버용 필터로 동작한다)이다(<그림 1> 참조). 콜드퓨전 MX, 닷넷, 자바 버전이 각각 따로 있으며, EJB 구축된 서비스, 닷넷 서버, 콜드퓨전 등으로 구축된 웹 서비스를 플래시에서 그대로 이용할 수 있도록 하기 때문에 웹 서비스를 이용하는 플래시 애플리케이션을 쉽게 구축할 수 있다. 즉, 비즈니스 로직은 서버측에 웹 서비스로 구축하고 클라이언트측 UI 플래시로 개발하려는 경우에 가장 좋다고 할 수 있다. 서버측 개발자는 ‘Flash Remoting MX’를 설치하는 것 외에 추가적인 코드를 작성해야 하는 일은 없다. ASP.NET 웹 서비스를 만들고 플래시에서 이 웹 서비스를 호출하는 과정을 간단하게 살펴보자. ASP.NET 서버측에 ‘Flash Remoting MX for Microsoft .NET’이 설치되어 있어야 한다(Flash Remoting MX는 상용 제품이지만, 매크로미디어 사이트에서 평가판을 받아 충분히 테스트해 볼 수 있다). 일반적으로 다음 폴더에 설치된다. C:\Inetpub\wwwroot\flashremoting 플래시 리모팅을 사용하는 클라이언트 SWF를 개발하기 위해서는 플래시에 리모팅 컴포넌트(Flash Remoting Components)를 설치해야 한다(혼돈하지 말아야 한다. Remoting MX는 서버측에 설치되는 요소이며, 자바, 닷넷, 콜드퓨전 등의 버전이 따로 있다. Remoting 컴포넌트는 플래시에 추가로 설치되는 플래시 클라이언트 개발용 컴포넌트이다). 리모팅 컴포넌트가 설치되면 <화면 1>처럼 ‘Remoting’이란 컴포넌트가 설치되고, 이하에 ‘NetServices’등의 객체가 생기는 것을 볼 수 있다. 먼저 ASP.NET으로 간단한 웹 서비스를 만들어 보자. 비주얼 스튜디오 닷넷을 시작하고 ‘HelloFlash’란 이름으로 웹 서비스 프로젝트를 만든다(<화면 2> 참조). 그리고, HelloWorld 메쏘드의 주석을 제거해 빌드한다. <리스트 1>처럼 가장 간단한 웹 서비스를 만들고 다음과 같이 WSDL을 확인해 보자. http://localhost/HelloFlash/Service1.asmx?WSDL 이 WSDL은 HelloFlash 프로젝트에서 노출되는 웹 서비스에 대한 설명을 담고 있다(플래시측에서 이 WSDL이 사용된다). 이제 다음과 같은 수순으로 작업해 HelloFlash 폴더를 플래시 리모팅이 가능하도록 준비를 한다. 1 플래시 리모팅 폴더(flashremoting)에 있는 flashgateway.dll 파일을 HelloFlash/bin 폴더에 복사한다. 2 HelloFlash 폴더 등록정보에서 보안 탭을 누르고, ASPNET 계정을 추가하고 쓰기(Write) 권한을 추가한다. 3 빈 apsx 페이지를 만든다(여기서는 default.aspx 페이지를 만들었다). 4 web.config에 다음의 내용을 추가한다. <httpModules> <add name="GatewayController" type="FlashGateway.Controller.GatewayController,flashgateway"/> </httpModules> HelloFlash 폴더가 플래시 리모팅에 사용될 수 있게 준비됐다. 이제 플래시를 시작하고, 첫 프레임에 <리스트 2>와 같이 액션스크립트를 작성한다. getService() 메쏘드는 ‘http://localhost/HelloFlash/Service1.asmx?wsdl’에 기술된 WSDL 내용을 가지고 프록시 객체를 생성한다. 생성된 serv 객체를 통해 다음과 같이 메쏘드를 호출할 수 있다. serv.HelloWorld(); 웹 메쏘드를 호출하면 “메쏘드 이름_Result()”, “메쏘드 이름_Status()”의 콜백이 호출된다. 이 콜백을 통해 리턴 값을 얻을 수 있다. function HelloWorld_Result(result) { trace( result ); } 수행 결과는 “Hello, World”라고 출력되지만 XML 웹 서비스를 간단한 액션스크립트 코드로 이용할 수 있다는 점에서 리모팅은 무척 강력한 방법이 된다(ATL/COM으로 어렵게 액티브X 컨트롤을 구현하는 것에 비해 훨씬 적은 비용으로 빠르게 클라이언트를 개발할 수 있다). 날씨, 증권, 상품 조회 등 변화하는 데이터를 조회하거나 서버와 상호작용을 하는 서비스를 구성할 때 플래시 리모팅은 매우 유연하면서도 강력한 방법이 된다. 플래시 리모팅은 ADO와 연결되어 서버 측의 데이터를 처리하거나 서버 측의 어셈블리를 호출할 수 있다. 이런 기능도 웹 서비스를 이용하는 것 못지않게 다양한 응용이 가능하게 한다. 플래시 보안 : SWF는 HTML이나 자바스크립트와 다르지 않다? 엔터프라이즈 애플리케이션에서 보안은 빼놓을 수 없는 이야기이다. 애플리케이션이 공개적으로 배포되는 인터넷 환경에서는 더더욱 그렇다. 플래시 관련 보안 이슈 중 가장 먼저 떠오르는 것이 바로 SWF 디컴파일러(decompiler) - SWF 파일에서 리소스와 액션스크립트를 추출하는 도구에 대한 것이다. <화면 3>은 대표적인 SWF 디컴파일러(Sothink)의 수행 화면이다. 리소스는 물론 액션스크립트를 완벽하게 디컴파일한다. 보안의 관점에서 볼 때 SWF는 HTML이나 자바스크립트와 다르지 않다. 액션스크립트를 포함해 SWF가 가지고 있는 내용은 모두 분해되고 해체될 수 있다. SWF 파일 포맷이 공개되어 있기 때문인데, 원천적으로 이를 방지할 방법은 없다(반면에 FLA 파일은 포맷이 공개되어 있지 않기 때문에 SWF를 FLA로 디컴파일해 주는 도구는 없다). 일단, 플래시 개발자 입장에서 볼 때 애써 작성해 놓은 코드나 리소스가 노출된다는 측면에서 매우 안타까울 수 있다. 플래시 전문가들은 자신의 코드를 보호하고자 할 경우 무비클립을 나누어 동적으로 로드하도록 권고하고 있지만, 이 방법 또한 디컴파일을 어렵게 할 뿐 디컴파일 자체를 원천적으로 막을 수는 없다. 이보다 더 문제가 되는 것은 액션스크립트에 포함되어 있는 로직이나 데이터가 노출된다는 점이다. 서버에서 인증을 받는 SWF나 서버와 상호 작용을 하는 게임을 플래시로 제작할 때는 반드시 이런 점을 고려해야 한다(서버와 통신하는 프로토콜이 모두 노출된다). SWF 안에 중요한 데이터나 패스워드 같은 내용을 넣어서는 안 된다. 이 글에서 설명하고 있는 플래시 통신의 다양한 방법들이 중요한 이유 중 하나가 여기에 있다. 즉, 중요한 알고리즘은 서버에 구현함으로서 악의적인 공격에 대비해야 하며, 프로토콜 노출을 고려해 서버를 안전하게 보호할 방법을 마련해야 한다. 플래시 통신 보안과 SSL 우리가 사용하는 인터넷 상의 통신은 엽서와 같다. 즉, 엽서가 지나는 길에 있다면 누구나 엽서에 쓰여진 내용을 볼 수 있다. HTML이나 SWF, 메일 모두 마찬가지이다(심지어 대부분의 인터넷 사이트에서 입력하는 아이디와 패스워드도 전혀 암호화되지 않은 채 돌아다닌다). 서버와 클라이언트 사이에서 누군가 마음만 먹으면 손쉽게 데이터를 볼 수 있다. 이 문제를 해결하는 것이 SSL(Secure Socket Layer)이다. SSL은 별도의 추가적인 개발 없이 완전한 보안을 구현한다(즉, 보내는 측과 받는 측 사이에서 데이터를 중간에 볼 수 있다 하더라도 전혀 해독할 수 없다). 플래시는 HTTPS(HTTP + SSL)를 지원한다. 사실 플래시 자체가 SSL을 지원한다기보다는 브라우저가 제공하는 SSL을 이용한다고 하는 편이 맞을 것이다. 여러분이 SSL이 적용된 웹 페이지에서 SWF를 받았다면 그것은 SWF와 데이터 전체가 암호화돼 전송됐음을 의미한다. 주의할 것은 SWF가 전송 중에는 암호화된다는 점이다. 즉, SWF 디컴파일을 막는 것과 SSL은 아무런 상관이 없다. SSL은 가장 안전한 통신 보안 방법이다. 대부분의 브라우저가 128비트 SSL 암호화를 제공하고 있어 충분히 안전하다고 할 수 있다. 웹 서버인 IIS(Internet Information Server)가 HTTPS를 사용하게 하려면 <화면 4>와 같이 공인 인증기관으로부터 공인 인증서를 받아서 IIS에 설치하고, <화면 5>처럼 SSL을 사용하도록 설정하면 된다(SSL 설정은 이 글의 범위를 벗어나므로 자세한 방법은 베리사인과 같은 공인 인증기관 사이트를 참고하라). 플래시 암호화 통신 SSL을 사용할 수 없을 때 최소한 데이터를 암호화해 보내야 한다. 인증(authentication) 과정을 예로 들어 살펴보자. 패스워드와 같이 중요한 데이터를 그대로 전송해서는 안 된다. <화면 6>은 MD5를 구현한 예이다. 해시는 데이터 전체를 암호화하는 것은 아니지만 암호화된 결과를 가지고 원본을 알 수 없다는 단방향성을 가지고 있어 인증에 많이 사용된다(소스는 ‘이달의 디스켓’에 포함되어 있다). 해시 방법을 이용해 다음과 같이 인증을 할 수 있다. 이 방법의 핵심은 실제 패스워드를 보내지 않는다는 것이다. 1 SWF는 서버에 임의의 문자열 S을 요청한다. 2 SWF는 수신된 S에 사용자가 입력한 패스워드를 붙여서 해시 암호화해 문자열 A를 생성한다. 3 A를 서버로 전송한다. 4 서버는 SWF로 보낸 S와 데이터베이스에서 얻은 사용자 패스워드를 붙여서 해시화해 B를 생성한다. 5 서버는 A와 B가 일치하는지 여부를 확인한다. 플래시로 제작된 네트워크 게임이 있다고 하자. SWF가 디컴파일된다면 서버와 통신하는 프로토콜이 모두 공개될 것이다. 이 때문에 게임 서버가 해킹된다면 이것은 엄청난 일을 야기한다. 따라서 플래시 암호화가 필요하다. 다시 말해, 프로토콜이 노출되더라도 안전하게 통신할 방법을 마련해야 하는데 바로 해시 암호화와 같은 방법이다. 예를 들어, 서버로부터 특정한 키를 발급받아 항상 해당 키로 암호화된 데이터를 주고받는다면, 클라이언트 암호와 알고리즘과 로직을 알더라도 서버측에 있는 로직을 알아내지 못하게 되어 게임을 해킹하기 힘들어진다. 다음은 SHA1 알고리즘을 테스트하는 액션스크립트이다. MD5 해시보다 SHA1 알고리즘이 훨씬 안전한 것으로 알려져 있다(MD5 알고리즘과 SHA1 알고리즘을 구현한 액션스크립트는 ‘이달의 디스켓’에 포함되어 있으며, 참고자료를 통해서도 얻을 수 있다). #include "sha1.as" trace(b64_sha1("Hello, World")); 앞의 수행 결과는 다음과 같다. kH0U+zrysNTxjC1Gq+iu3OFzZ70 앞의 액션스크립트와 <리스트 3>의 C# 코드의 수행 결과는 똑같다. 이 결과를 이용해 앞서 설명한 인증을 구현할 수 있다. 사실 여기에는 좀더 개선된 방법이 필요하다. 예를 들어, 사전(dictionary)에 의한 공격을 막기 위해 암호화 데이터에 salt를 추가하거나 해시를 두 번 통과하게 하는 방법도 좋은 개선 방법이다. 다른 보안 이슈 다운로드된 SWF가 다른 서버(도메인)와 통신을 하는 것은 악의적으로 사용될 가능성이 있어서 이를 못하게 막고 있다(이것은 자바 애플릿도 마찬가지다). 이것을 교차 사이트 공격(Cross-Site Attack) 방지라고 하는데, SWF는 다운로드된 서버의 도메인 안에 있는 서버와 통신이 가능하다. 예를 들어, www.elasticware.com에서 SWF가 다운로드됐다면 SWF는 content.elasticware.com과 통신이 가능하다(즉, 자신이 다운로드된 서버 및 같은 도메인에 있는 서버와 통신이 가능하다). 플래시는 사용자의 파일 시스템, 카메라, 마이크로 폰에 접근이 가능하다. 접근 가능 여부는 사용자 설정에 따른다. 사용자의 파일 시스템에 접근은 독립적인 SWF 단위로 제한된다. 일반적으로 설정 정보나 상태 정보를 저장하는 목적으로 사용되며, 기본 저장 공간은 100K이다. 사용자가 크기를 설정할 수 있고(<화면 7> 참조), 저장소의 크기와 쿠키 저장 여부에 대한 것은 브라우저 설정과 무관하다. 클라이언트에 데이터를 저장하는 방법으로 액션스크립트에서 SharedObject 객체를 사용한다. 다음은 SharedObject를 사용해 클라이언트에 카운터를 저장하고 로드될 때마다 증가시키는 예이다. sObject = SharedObject.getLocal("counter"); // 읽기 if( sObject != null ) { sObject.data.counter++; // 연산 _root.savedata = sObject.data.counter; sObject.flush(); // 저장 trace(sObject.data.counter); } SWF에서 저장한 내용은 다음 폴더에 저장되는데, 각 SWF마다 그리고 SharedObject에서 저장하는 객체 이름으로 내용을 담은 파일이 생성된다. C:\Documents and Settings\Administrator\Application Data\Macromedia\Flash Player 플래시 보안의 핵심은 SSL과 동적인 서버 사이드 연결로 요약할 수 있다. 즉, 통신 보안을 위해 가능한 SSL을 사용하고, 액션스크립트가 완전히 노출된다는 가정하에 중요한 로직은 서버측에 구현하고 데이터를 암호화하는 별도의 로직을 클라이언트와 서버에 따로 구현하는 것을 추천한다. ‘Flash.NET’의 가능성 지금까지 3회에 거쳐 서버측(ASP.NET)과 플래시(SWF) 사이의 다양한 통신 방법과 개발 이슈들에 대해 살펴봤다. 플래시는 리치 클라이언트의 가능성뿐만 아니라 사실상의 플랫폼 독립성을 갖추고 있고, 높은 생산성을 가지고 있는 훌륭한 클라이언트 개발 도구이다. 플래시와 닷넷의 만남은 유연하고 고 가용성의 시스템을 구축하는 데 손색이 없으며, 특히 XML 웹 서비스의 활용은 생산성을 높이는 아주 좋은 방법이다. 다만, 그 활용의 장벽은 ASP.NET 개발자는 플래시를 모르고, 플래시 디자이너는 ASP.NET에 익숙하지 않은 기술간의 문턱이라고 할 수 있다. 예를 들어, 데이터와 비즈니스 로직을 SWF에 두지 않는 것만으로도 훨씬 유연한 개발을 할 수 있다. 비주얼 베이직과 C++, J2EE와 닷넷, 호스트와 유닉스 그리고 유닉스와 NT처럼 기술과 기술 사이의 다리가 되는 기술이 훨씬 중요할 때가 많다. 1+1이 2 이상이 될 수 있듯이 플래시(Flash)+닷넷(.NET) 역시 Flash.NET 그 이상이 될 것이다. @ |
=================================
=================================
=================================
'ADOBE > ActionScript' 카테고리의 다른 글
[Adobe AIR] HTMLLoader에 로드되는 HTML문서에 trace 기능 추가하기 (0) | 2020.09.21 |
---|---|
플래시 as3.0 swf와 swf 간의 통신 as3.0 에서 loader를 사용해swf를 로드한 후 loader.content 안에 있는 함수실행 등등 (0) | 2020.09.21 |
[AS3.0] Loader Class를 사용한 swf의 로드 (0) | 2020.09.21 |
[AS] 플래시 액션스크립트 로딩화면 프리로더 프리로딩 관련 (0) | 2020.09.21 |
[AS] 플래시 as3.0 브라우져 액션스크립트 연동 관련 (자바스크립트 연동, asp, jsp, php 연동) (0) | 2020.09.21 |