Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

web4free · 02-07-2005, 16:44

Hellas,

Da ich leider nicht weiß ob ich hier mit meiner Frage richtig bin, bitte nicht böße sein.
Aber ich dachte mal dass es hier sicher am ehesten passt.

Folgende Frage hab ich.
Wir, also ich und 3 Partner, betreiben ein Onlineauktionshaus bei dem JavaScript aus Sicherheitsgründen föllig verbannt ist.
Warum das so ist??? Man denke dabei an EBAY!!!

Bis jetzt hatte ich auch alles was mit object oder embed eingetragen wurde ebenfalls gesperrt.

Nun wie schauts punkto Sicherheit bei ActionScript bzw. Flash eigendlich wirklich aus???
Kann man da auch "bößartige" Scripte proggen um damit Passwörter zu klauen, oder sonst irgendwelche Schweinerein anzustellen??

Ich hoffe Ihr könnt mir diesbezüglich ein bisserl weiterhelfen.
Da ja soviele Wissenschaftler und Profis vor Ort sind,
sollte das ja kein Problem darstellen

pokepika · 02-07-2005, 17:09

hmm. mit javascript könntest du z.B. LogIn Felder auf der seite ausspionieren, und dann an einen Server senden.
Das liegt aber daran, dass JS sozusagen die "Macht" über das gesamte HTML Dokument hat, JS kann auf jedes Element einzeln zugreifen und dies verändern bzw. ausspionieren.

Flash kann dies nicht ohne JS. Desweiteren kann Flash auch nicht auf den Server draufzugreifen, ohne, dass eine andere Sprache ihm hilft (php z.B.)

web4free · 02-07-2005, 17:15

Hmmm, wenn ich das jetzt richtig verstanden hab:

Lasse ich JavaScript deaktiviert und lasse Flash in den Auktionsbeschreibungen aktiv, kann genau nichts passieren??
Der "Böße" User hat somit keine Möglichkeit auf das Dokument um irgendwelche Umlenkungen oder Spionagen zu betreiben?!

Sorry diese Frage, aber es geht immerhin um die Sicherheit der Verkäufer und Käufer!

lg.
Werner

Der Frager · 02-07-2005, 17:35

Hallo!
Ich sage mal so: Ein Hacker greift ja keine Flash-Datei oder html-Seite an, sondern die Datenbank dahinter. Da diese ja nun irgendwie mit Flash/html kommunizieren muss, kann sie ja nicht 100%ig abgeschottet sein. Alles, was in irgendeiner Weise im Netz liegt, ist angreifbar - auch wenn's noch so toll gesichert ist.
Und zum Abschluss nich die frohe Kunde, dass ein Flashfilm selbst von einem 5-jährigen mit dem entsprechenden Programm "decompiled" werden kann.
*Freude*

web4free · 02-07-2005, 17:45

Na dann sag ichs mal anders.
Wir haben jetzt einen großen Kunden der von EBAY die Schnauze voll hat.
Problem bei der Geschichte: Er benutzt in seiner Artikelbeschreibung eine Bildershow die über JavaScript läuft. Eh klar!
Jenes welche ist aber aus genannten Gründen vollkommen deaktiviert.

Jetzt hab ich dem Kunden eine vollkommen dynamische Flashslideshow gebastelt.
Das Flash wird auf unseren Server liegen und der Kunde kann seine Bilder über die datei.swf?var1=..... in das Flash einspielen.

Jetzt muss ich aber Flash freigeben in den Artikelbeschreibungen und jeder kann alles was mit Flash zu tun hat auch anzeigen lassen.

Dass es im Internet nix 100% sicheres gibt ist mir schon klar!
Nur will ich eben vermeiden, dass jemand im Flash Scripte schreiben kann und damit zB. Passwörterklau betreiben kann.

lg.
Werner

rena · 02-07-2005, 17:56

Ich hab zwar keine Ahnung, wie man mit Javascript Passwörter ausliest aber du kannst innerhalb Flash auch Javascriptfunktionen schreiben, z.B.

ActionScript:

button.onRelease=function(){
    getURL("Javascript:alert('ich wurde geklickt');");
}

Das funktioniert dann auch - siehe Anhang.
Wie weit das allerdings geht, weiß ich nicht.

Gruß
Rena

web4free · 02-07-2005, 18:02

Ooops, das ist aber nicht grad eine erfreuliche Antwort gewesen!

Ich denke mal, dass man somit auch Eingabefelder abfragen kann.
Ich mein es wird bei der Anzeige der jeweiligen Auktion, also auf dieser Seite, keine persönlichen Daten eingegeben, sondern nur ein Preis und der Submitbutton.
Auf der 2. Seite existiert die Auktionsbeschreibung ja nimmer.
Aber sicher ist sicher.

Hmm, gefällt mir gar nicht

rena · 02-07-2005, 18:08

Sorry

Wie es wo sicher ist - je nach Einsatzort, wie du sagtest - oder auch nicht, kann ich jedoch nicht sagen.
Wollt nur auf die potentielle Möglichkeiten von JS in Flash hinweisen.

Gruß
Rena

pokepika · 03-07-2005, 16:25

du könntest es natürlich auch so machen, dass du nur dein Movie erlaubst und zwar, in dem du dir für deine Artikelbeschreibung ein BBCode schreibst.

[galerie:var1=wert1&var2=wert2&var3=wert3]

wird dann per php ersetzt zum object-embed code..

web4free · 03-07-2005, 17:41

Soetwas ähnliches ist mir gestern schon durch den Kopf gegangen.
Das könnte ich ja dann auch für JavaScript Effekte auch machen.

Extrem wichtig ist halt nur, dass die Daten der Käufer und Verkäufer sicher untergebracht sind und nicht durch manipullierte Scripte offengelegt werden.

Wir bemühen uns wenigstens gegenüber so manch anderen

Danke jedenfalls für die Antworten!!!

02-07-2005, 16:44	#1 (permalink)
web4free Neuer User Registriert seit: Oct 2003 Beiträge: 22	AS sicherer als JS??? Hellas, Da ich leider nicht weiß ob ich hier mit meiner Frage richtig bin, bitte nicht böße sein. Aber ich dachte mal dass es hier sicher am ehesten passt. Folgende Frage hab ich. Wir, also ich und 3 Partner, betreiben ein Onlineauktionshaus bei dem JavaScript aus Sicherheitsgründen föllig verbannt ist. Warum das so ist??? Man denke dabei an EBAY!!! Bis jetzt hatte ich auch alles was mit object oder embed eingetragen wurde ebenfalls gesperrt. Nun wie schauts punkto Sicherheit bei ActionScript bzw. Flash eigendlich wirklich aus??? Kann man da auch "bößartige" Scripte proggen um damit Passwörter zu klauen, oder sonst irgendwelche Schweinerein anzustellen?? Ich hoffe Ihr könnt mir diesbezüglich ein bisserl weiterhelfen. Da ja soviele Wissenschaftler und Profis vor Ort sind, sollte das ja kein Problem darstellen

02-07-2005, 17:35	#4 (permalink)
Der Frager ................ Registriert seit: Jun 2004 Beiträge: 15.890	Hallo! Ich sage mal so: Ein Hacker greift ja keine Flash-Datei oder html-Seite an, sondern die Datenbank dahinter. Da diese ja nun irgendwie mit Flash/html kommunizieren muss, kann sie ja nicht 100%ig abgeschottet sein. Alles, was in irgendeiner Weise im Netz liegt, ist angreifbar - auch wenn's noch so toll gesichert ist. Und zum Abschluss nich die frohe Kunde, dass ein Flashfilm selbst von einem 5-jährigen mit dem entsprechenden Programm "decompiled" werden kann. Freude __________________ ternärer Konditionaloperator +++ Bitte keine Privat-Nachrichten bezüglich Flashfragen! +++

02-07-2005, 18:08	#8 (permalink)
rena meistens harmlos Registriert seit: Jun 2001 Ort: Stuttgart Beiträge: 17.643	Sorry Wie es wo sicher ist - je nach Einsatzort, wie du sagtest - oder auch nicht, kann ich jedoch nicht sagen. Wollt nur auf die potentielle Möglichkeiten von JS in Flash hinweisen. Gruß Rena __________________ www.rena-hermann.de The angels have the phone box

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

02-07-2005, 17:09	#2 (permalink)
pokepika poke Registriert seit: Dec 2002 Ort: Iserlohn [NRW] Beiträge: 2.304	hmm. mit javascript könntest du z.B. LogIn Felder auf der seite ausspionieren, und dann an einen Server senden. Das liegt aber daran, dass JS sozusagen die "Macht" über das gesamte HTML Dokument hat, JS kann auf jedes Element einzeln zugreifen und dies verändern bzw. ausspionieren. Flash kann dies nicht ohne JS. Desweiteren kann Flash auch nicht auf den Server draufzugreifen, ohne, dass eine andere Sprache ihm hilft (php z.B.)

02-07-2005, 17:15	#3 (permalink)
web4free Neuer User Registriert seit: Oct 2003 Beiträge: 22	Hmmm, wenn ich das jetzt richtig verstanden hab: Lasse ich JavaScript deaktiviert und lasse Flash in den Auktionsbeschreibungen aktiv, kann genau nichts passieren?? Der "Böße" User hat somit keine Möglichkeit auf das Dokument um irgendwelche Umlenkungen oder Spionagen zu betreiben?! Sorry diese Frage, aber es geht immerhin um die Sicherheit der Verkäufer und Käufer! lg. Werner

02-07-2005, 17:45	#5 (permalink)
web4free Neuer User Registriert seit: Oct 2003 Beiträge: 22	Na dann sag ichs mal anders. Wir haben jetzt einen großen Kunden der von EBAY die Schnauze voll hat. Problem bei der Geschichte: Er benutzt in seiner Artikelbeschreibung eine Bildershow die über JavaScript läuft. Eh klar! Jenes welche ist aber aus genannten Gründen vollkommen deaktiviert. Jetzt hab ich dem Kunden eine vollkommen dynamische Flashslideshow gebastelt. Das Flash wird auf unseren Server liegen und der Kunde kann seine Bilder über die datei.swf?var1=..... in das Flash einspielen. Jetzt muss ich aber Flash freigeben in den Artikelbeschreibungen und jeder kann alles was mit Flash zu tun hat auch anzeigen lassen. Dass es im Internet nix 100% sicheres gibt ist mir schon klar! Nur will ich eben vermeiden, dass jemand im Flash Scripte schreiben kann und damit zB. Passwörterklau betreiben kann. lg. Werner

02-07-2005, 18:02	#7 (permalink)
web4free Neuer User Registriert seit: Oct 2003 Beiträge: 22	Ooops, das ist aber nicht grad eine erfreuliche Antwort gewesen! Ich denke mal, dass man somit auch Eingabefelder abfragen kann. Ich mein es wird bei der Anzeige der jeweiligen Auktion, also auf dieser Seite, keine persönlichen Daten eingegeben, sondern nur ein Preis und der Submitbutton. Auf der 2. Seite existiert die Auktionsbeschreibung ja nimmer. Aber sicher ist sicher. Hmm, gefällt mir gar nicht

03-07-2005, 16:25	#9 (permalink)
pokepika poke Registriert seit: Dec 2002 Ort: Iserlohn [NRW] Beiträge: 2.304	du könntest es natürlich auch so machen, dass du nur dein Movie erlaubst und zwar, in dem du dir für deine Artikelbeschreibung ein BBCode schreibst. [galerie:var1=wert1&var2=wert2&var3=wert3] wird dann per php ersetzt zum object-embed code..

03-07-2005, 17:41	#10 (permalink)
web4free Neuer User Registriert seit: Oct 2003 Beiträge: 22	Soetwas ähnliches ist mir gestern schon durch den Kopf gegangen. Das könnte ich ja dann auch für JavaScript Effekte auch machen. Extrem wichtig ist halt nur, dass die Daten der Käufer und Verkäufer sicher untergebracht sind und nicht durch manipullierte Scripte offengelegt werden. Wir bemühen uns wenigstens gegenüber so manch anderen Danke jedenfalls für die Antworten!!!