บังคับใช้การรักษาความปลอดภัยและความเป็นส่วนตัวของ Flash Player ทั่วโลก
- หมวดหมู่: ความปลอดภัย
Ghacks ประจำรู้ว่าสามารถกำหนดค่า Adobe Reader จากตัวจัดการการตั้งค่า หน้า บนเว็บไซต์ Macromedia ผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัยได้แก้ไขปัญหาสองประการเกี่ยวกับความพร้อมใช้งานทางออนไลน์ของตัวจัดการการตั้งค่า ผู้โจมตีสามารถเช่นใบรับรองปลอมเพื่อทำการเปลี่ยนแปลงการตั้งค่า ปัญหาอีกประการหนึ่งคือไม่สามารถทำการเปลี่ยนแปลงสำหรับผู้ใช้ทุกคนในระบบได้
เป็นความลับที่เก็บไว้อย่างดีที่ Adobe Flash Player สามารถกำหนดค่าได้ทั่วโลก ผู้ดูแลระบบและผู้ใช้ที่ต้องการดำเนินการดังกล่าวจำเป็นต้องสร้างไฟล์ mms.cfg ไฟล์นี้จะต้องถูกเก็บไว้ในไดเรกทอรีต่อไปนี้เพื่อให้ Flash Player เข้าถึงได้:
- Windows:% Windir% System32 Macromed Flash
- Macintosh: / Library / Application Support / Macromedia
- ลินุกซ์: / etc / adobe /
พารามิเตอร์ต่อไปนี้รองรับโดยไฟล์คอนฟิกูเรชัน:
- AllowUserLocalTrust ช่วยให้คุณป้องกันไม่ให้ผู้ใช้กำหนดไฟล์ใด ๆ บนระบบไฟล์โลคัลเป็นที่เชื่อถือได้
- AssetCacheSize ให้คุณระบุขีด จำกัด ฮาร์ดเป็น MB สำหรับจำนวนพื้นที่จัดเก็บในตัวเครื่องที่ Flash Player ใช้สำหรับการจัดเก็บส่วนประกอบ Flash ทั่วไป
- AutoUpdateDisable ช่วยให้คุณป้องกันไม่ให้ Flash Player ตรวจหาและติดตั้งเวอร์ชันที่อัปเดตโดยอัตโนมัติ
- AutoUpdateInterval ช่วยให้คุณระบุความถี่ในการตรวจหา Flash Player เวอร์ชันอัปเดต
- AVHardwareDisable ให้คุณป้องกันไม่ให้ไฟล์ SWF เข้าถึงเว็บแคมหรือไมโครโฟน
- DisableDeviceFontEnumeration ช่วยให้คุณป้องกันไม่ให้แสดงข้อมูลเกี่ยวกับแบบอักษรที่ติดตั้งไว้
- DisableNetworkAndFilesystemInHostApp ให้คุณป้องกันการเข้าถึงเครือข่ายหรือระบบไฟล์ทุกชนิด
- DisableProductDownload ช่วยให้คุณป้องกันไม่ให้แอปพลิเคชันโค้ดเนทีฟที่ลงนามแบบดิจิทัลและจัดส่งโดย Adobe ไม่ให้ดาวน์โหลด
- DisableSockets ให้คุณเปิดหรือปิดการใช้งานวิธี Socket.connect () และ XMLSocket.connect ()
- EnableSocketsTo ให้คุณสร้างรายการที่อนุญาตพิเศษของเซิร์ฟเวอร์ที่อนุญาตการเชื่อมต่อซ็อกเก็ต
- EnforceLocalSecurityInActiveXHostApp ให้คุณบังคับใช้กฎความปลอดภัยภายในสำหรับแอปพลิเคชันที่ระบุ
- FileDownloadDisable ให้คุณป้องกันไม่ให้ ActionScript FileReference API ดำเนินการดาวน์โหลดไฟล์
- FileUploadDisable ให้คุณป้องกัน ActionScript FileReference API จากการอัปโหลดไฟล์
- FullScreenDisable ให้คุณปิดใช้งานไฟล์ SWF ที่เล่นผ่านปลั๊กอินของเบราว์เซอร์ไม่ให้แสดงในโหมดเต็มหน้าจอ
- LegacyDomainMatching ช่วยให้คุณระบุได้ว่าไฟล์ SWF ที่สร้างขึ้นสำหรับ Flash Player 6 และรุ่นก่อนหน้าสามารถดำเนินการที่ถูก จำกัด ไว้ใน Flash Player เวอร์ชันใหม่กว่าได้หรือไม่
- LocalFileLegacyAction ให้คุณระบุวิธีที่ Flash Player กำหนดว่าจะเรียกใช้ไฟล์ SWF ในเครื่องบางไฟล์ที่สร้างขึ้นสำหรับ Flash Player 7 และรุ่นก่อนหน้าหรือไม่
- LocalFileReadDisable ให้คุณป้องกันไม่ให้ไฟล์ SWF ในเครื่องเข้าถึงไฟล์บนฮาร์ดไดรฟ์ในเครื่องได้
- LocalStorageLimit ให้คุณระบุขีด จำกัด อย่างหนักเกี่ยวกับจำนวนพื้นที่จัดเก็บในเครื่องที่ Flash Player ใช้ (ต่อโดเมน) สำหรับวัตถุที่แชร์แบบถาวร
- OverrideGPUValidation แทนที่การตรวจสอบความถูกต้องของข้อกำหนดที่จำเป็นในการใช้งานคอมโพสิต GPU
- ProductDisabled สร้างรายการแอปพลิเคชัน ProductManager ที่ผู้ใช้ไม่ได้รับอนุญาตให้ติดตั้งหรือเปิดใช้งาน
- RTMFPP2PDisable ระบุวิธีที่คอนสตรัคเตอร์ NetStream เชื่อมต่อกับเซิร์ฟเวอร์เมื่อระบุค่าสำหรับ peerID พารามิเตอร์ที่สองส่งผ่านไปยังคอนสตรัคเตอร์
- RTMFPTURNProxy ให้ Flash Player ทำการเชื่อมต่อ RTMFP ผ่านเซิร์ฟเวอร์ TURN ที่ระบุนอกเหนือจากซ็อกเก็ต UDP ปกติ
- ThirdPartyStorage ช่วยให้คุณระบุได้ว่าไฟล์ SWF ของ บริษัท อื่นสามารถอ่านและเขียนอ็อบเจ็กต์ที่แชร์ถาวรแบบโลคัลได้หรือไม่
ตัวเลือกส่วนใหญ่สามารถตั้งค่าเป็น 0 = false หรือ 1 = true ตัวอย่างพื้นฐานคือคำสั่ง AVHardwareDisable = 1 ซึ่งบล็อกการเข้าถึงไฟล์ SWF ไปยังเว็บแคมและไมโครโฟน ค่า 0 อนุญาตให้ผู้ใช้กำหนดการตั้งค่าในตัวจัดการการตั้งค่า
พารามิเตอร์ความเป็นส่วนตัว:
AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]
กำหนดว่าไฟล์ SWF สามารถดึงรายการแบบอักษรที่ติดตั้งจากระบบคอมพิวเตอร์ได้หรือไม่ การตั้งค่าเป็น 1 หมายความว่าไม่สามารถทำได้ในขณะที่ 0 หมายถึงข้อมูลที่สามารถส่งคืนได้
พารามิเตอร์ส่วนต่อประสานผู้ใช้:
FullScreenDisable = [0,1]
กำหนดว่าไฟล์ SWF สามารถแสดงในโหมดเต็มหน้าจอได้หรือไม่ ค่า 1 ป้องกันสิ่งนั้นในขณะที่ 0 อนุญาต
ตัวเลือกการโหลดและจัดเก็บข้อมูล:
LocalFileReadDisable = [0,1]
ค่า 1 ป้องกันไม่ให้ไฟล์ SWF ในเครื่องมีสิทธิ์อ่านไฟล์บนฮาร์ดไดรฟ์ในเครื่องซึ่งหมายความว่าไฟล์ SWF ในเครื่องไม่สามารถรันได้ SWF ระยะไกลไม่สามารถอัปโหลดหรือดาวน์โหลดไฟล์
FileDownloadDisable = [0,1]
การตั้งค่าพารามิเตอร์เป็น 1 ปิดใช้งานการดาวน์โหลดไฟล์ในขณะที่ 0 อนุญาต
FileUploadDisable = [0,1]
เช่นเดียวกับ FileDownloadDisable โดยมีข้อแตกต่างที่บล็อกหรืออนุญาตให้อัปโหลดไฟล์
LocalStorageLimit = [1,2,3,4,5,6]
สิ่งนี้กำหนดขีด จำกัด ของพื้นที่เก็บข้อมูลในเครื่องที่โปรแกรมเล่น Flash สามารถจัดสรรได้ต่อโดเมน (1 = ไม่มีพื้นที่เก็บข้อมูล 2 = 10KB, 3 = 100KB, 4 = 1MB, 5 = 10MB, 6 = ไม่ จำกัด ]
ThirdPartyStorage = [0,1]
หากตั้งค่านี้เป็น 1 ไฟล์ SWF ของบุคคลที่สาม (ที่มาจากโดเมนอื่นที่ไม่ใช่โดเมนปัจจุบัน) สามารถอ่านและเขียนอ็อบเจ็กต์ที่แชร์แบบถาวรภายในเครื่องได้ ถ้าค่านี้ถูกตั้งค่าเป็น 0 ไฟล์ SWF ของ บริษัท อื่นจะไม่สามารถอ่านหรือเขียนอ็อบเจ็กต์ที่แชร์ถาวรแบบโลคัลได้
AssetCacheSize = [0, จำนวนเมกะไบต์]
ค่านี้ระบุขีด จำกัด ฮาร์ดเป็น MB สำหรับจำนวนพื้นที่จัดเก็บในตัวเครื่องที่ Flash Player ใช้สำหรับการจัดเก็บส่วนประกอบ Flash ทั่วไป หากตัวเลือกนี้ไม่รวมอยู่ในไฟล์ mms.cfg ตัวจัดการการตั้งค่าจะให้ผู้ใช้ระบุว่าจะอนุญาตการจัดเก็บคอมโพเนนต์หรือไม่ อย่างไรก็ตามผู้ใช้ไม่สามารถระบุได้ว่าจะใช้พื้นที่เก็บข้อมูลในเครื่องเท่าใด ขีด จำกัด เริ่มต้นคือ 20 MB
อัปเดตตัวเลือก:
AutoUpdateDisable = [0.1]
หากตั้งค่าเป็น 1 Flash Player จะปิดการอัปเดตอัตโนมัติ ซึ่งจะป้องกันไม่ให้ Flash Player ตรวจสอบเวอร์ชันที่อัปเดตเป็นระยะ ๆ หากตั้งค่าเป็น 1 พารามิเตอร์ต่อไปนี้จะถูกละเว้น
AutoUpdateInterval = [จำนวนวัน]
กำหนดช่วงเวลาที่ Flash Player ตรวจหาเวอร์ชันใหม่ ค่าเริ่มต้นคือ 30 วัน
DisableProductDownload = [0,1]
หากตั้งค่านี้เป็น 0 (ค่าเริ่มต้น) Flash Player สามารถติดตั้งแอปพลิเคชันโค้ดเนทีฟที่ Adobe เซ็นชื่อและส่งมอบแบบดิจิทัล Adobe ใช้ความสามารถนี้เพื่อส่งมอบการอัปเดต Flash Player ผ่านกระบวนการติดตั้ง Express ที่เริ่มโดยนักพัฒนาและเพื่อมอบฟังก์ชันการแชร์หน้าจอ Adobe Acrobat Connect หากตั้งค่านี้เป็น 1 ความสามารถเหล่านี้จะถูกปิดใช้งาน
ProductDisabled = ชื่อแอปพลิเคชัน
ตัวเลือกนี้จะมีผลก็ต่อเมื่อ DisableProductDownload มีค่าเป็น 0 หรือไม่มีอยู่ในไฟล์ mms.cfg จะสร้างรายการแอปพลิเคชัน ProductManager ที่ผู้ใช้ไม่ได้รับอนุญาตให้ติดตั้งหรือเปิดใช้งาน
ตัวเลือกความปลอดภัย:
LegacyDomainMatching = [0,1]
การตั้งค่านี้ควบคุมว่าจะอนุญาตให้ไฟล์ SWF ที่สร้างขึ้นสำหรับ Flash Player 6 และรุ่นก่อนหน้าสามารถดำเนินการที่ถูก จำกัด ใน Flash Player เวอร์ชันใหม่กว่าได้หรือไม่
LocalFileLegacyAction = [0,1]
การตั้งค่านี้ควบคุมวิธีที่ Flash Player กำหนดว่าจะเรียกใช้ไฟล์ SWF ในเครื่องบางไฟล์ที่สร้างขึ้นสำหรับ Flash Player 7 และรุ่นก่อนหน้าหรือไม่
AllowUserLocalTrust = [0,1]
การตั้งค่านี้ช่วยให้คุณป้องกันไม่ให้ผู้ใช้กำหนดไฟล์ใด ๆ บนระบบไฟล์ภายในเป็นที่เชื่อถือได้ (นั่นคือวางไว้ในแซนด์บ็อกซ์ที่เชื่อถือได้ในเครื่อง) การตั้งค่านี้ใช้กับไฟล์ SWF ที่เผยแพร่สำหรับ Flash ทุกเวอร์ชัน
EnforceLocalSecurityInActiveXHostApp = ชื่อไฟล์ปฏิบัติการ
โดยค่าเริ่มต้นการรักษาความปลอดภัยภายในจะถูกปิดใช้งานเมื่อใดก็ตามที่ตัวควบคุม ActiveX ทำงานในแอปพลิเคชันโฮสต์ที่ไม่ใช่เบราว์เซอร์ ในบางกรณีที่เกิดปัญหาคุณสามารถใช้การตั้งค่านี้เพื่อบังคับใช้กฎความปลอดภัยภายในสำหรับแอปพลิเคชันที่ระบุ คุณสามารถบังคับใช้การรักษาความปลอดภัยภายในสำหรับหลายแอปพลิเคชันโดยป้อนรายการ EnforceLocalSecurityInActiveXHostApp แยกกันสำหรับแต่ละแอปพลิเคชัน
DisableNetworkAndFilesystemInHostApp = ชื่อไฟล์ปฏิบัติการ
ตัวเลือกนี้คล้ายกับ EnforceLocalSecurityInActiveXHostApp แต่ใช้กับปลั๊กอินเช่นเดียวกับตัวควบคุม ActiveX และกำหนดการควบคุมความปลอดภัยที่เข้มงวดขึ้น เมื่อปลั๊กอินหรือตัวควบคุม ActiveX ทำงานภายในแอปพลิเคชันที่ระบุจะเหมือนกับว่าได้ระบุพารามิเตอร์ HTML allowNetworking = 'none' ไว้ นั่นคือจะไม่อนุญาตให้เข้าถึงเครือข่ายหรือระบบไฟล์ใด ๆ และ SWF ที่ทำงานใน Flash Player จะทำงานโดยไม่สามารถโหลดสื่อเพิ่มเติมหรือสื่อสารกับเซิร์ฟเวอร์ใด ๆ คุณสามารถบังคับใช้การรักษาความปลอดภัยภายในสำหรับหลายแอปพลิเคชันโดยป้อนแยกกัน
ตัวเลือกการเชื่อมต่อซ็อกเก็ต
DisableSockets = [0,1]
ตัวเลือกนี้เปิดหรือปิดการใช้งาน Socket.connect () และ
XMLSocket.connect () วิธีการ หากคุณไม่รวมตัวเลือกนี้ในไฟล์ mms.cfg หรือหากตั้งค่าเป็น 0 การเชื่อมต่อซ็อกเก็ตจะได้รับอนุญาตกับเซิร์ฟเวอร์ใด ๆ หากตั้งค่านี้เป็น 1 จะไม่อนุญาตให้มีการเชื่อมต่อซ็อกเก็ต อย่างไรก็ตามหากคุณต้องการปิดใช้งานการเชื่อมต่อซ็อกเก็ตบางส่วน แต่ไม่ใช่ทั้งหมดให้ตั้งค่านี้เป็น 1 จากนั้นใช้ EnableSocketsTo เพื่อระบุเซิร์ฟเวอร์อย่างน้อยหนึ่งเซิร์ฟเวอร์ที่สามารถเชื่อมต่อซ็อกเก็ตได้
EnableSocketsto = [ชื่อโฮสต์ที่อยู่ IP]
ตัวเลือกนี้มีผลเฉพาะเมื่อ DisableSockets มีค่าเป็น 1; จะสร้างรายการที่อนุญาตพิเศษของเซิร์ฟเวอร์ที่อนุญาตให้มีการเชื่อมต่อซ็อกเก็ต ไม่เหมือนกับอ็อพชัน mms.cfg อื่น ๆ คุณสามารถใช้อ็อพชันนี้กี่ครั้งก็ได้ตามความเหมาะสมกับสภาพแวดล้อมของคุณ โปรดสังเกตว่าเซิร์ฟเวอร์ที่ระบุเป็นเซิร์ฟเวอร์เป้าหมายซึ่งทำการเชื่อมต่อซ็อกเก็ต พวกเขาไม่ใช่เซิร์ฟเวอร์ต้นทางซึ่งให้บริการไฟล์ SWF ที่เชื่อมต่อ
องค์ประกอบ GPU:
OverrideGPUValidation = [0, 1]
คุณสมบัติการคอมโพสิต GPU นั้นมีเวอร์ชันไดรเวอร์สำหรับการ์ดแสดงผล หากชุดการ์ดและไดรเวอร์ไม่ตรงกับข้อกำหนดที่จำเป็นในการใช้งานคอมโพสิตให้ตั้งค่า OverrideGPUValidation เป็น 1 เพื่อแทนที่การตรวจสอบความถูกต้องของข้อกำหนดไดรเวอร์ ตัวอย่างเช่นคุณอาจต้องการเปิดใช้งานการคอมโพสิต GPU ระหว่างชุดทดสอบบางชุดแม้ว่าไดรเวอร์วิดีโอในเครื่องทดสอบจะไม่ตรงตามข้อกำหนดการประกอบ การตั้งค่านี้จะลบล้าง gating เวอร์ชันไดรเวอร์ แต่ยังคงตรวจสอบข้อกำหนด VRAM
ตัวเลือก RTMFP:
RTMFPP2PDisable = [0, 1]
อ็อพชันนี้ระบุวิธีที่คอนสตรัคเตอร์ NetStream เชื่อมต่อกับเซิร์ฟเวอร์เมื่อระบุค่าสำหรับ peerID พารามิเตอร์ที่สองส่งผ่านไปยังคอนสตรัคเตอร์ ถ้า RTMFPP2PDisable มีค่าเป็น 0 หรือไม่มีอยู่ในไฟล์ mms.cfg สามารถใช้การเชื่อมต่อแบบเพียร์ทูเพียร์ (P2P) ได้ หากค่านี้เป็น 1 ค่าใด ๆ ที่ระบุสำหรับ peerID จะถูกละเว้นและการเชื่อมต่อ P2P คือ d
RTMFPTURNProxy = URL ของ TURN พร็อกซีเซิร์ฟเวอร์
หากมีตัวเลือกนี้ Flash Player จะพยายามทำการเชื่อมต่อ RTMFP ผ่านเซิร์ฟเวอร์ TURN ที่ระบุนอกเหนือจากซ็อกเก็ต UDP ปกติ TURN Servers มีประโยชน์สำหรับการถ่ายทอดการรับส่งข้อมูลเครือข่าย RTMFP ผ่านไฟร์วอลล์ที่บล็อกแพ็กเก็ต UDP
ข้อมูลเพิ่มเติม:
คู่มือผู้ดูแลระบบ flash player 10.0
เว็บไซต์ Adobe Flash Player 10 Admin Guide
mms Config ตัวอย่าง
คนล่าสุดที่อยู่ตรงกลางช่องโหว่ [เยอรมัน]
การกำหนดค่าเป็นไฟล์ตัวอย่างพื้นฐานซึ่งปิดใช้งานการตรวจสอบการอัปเดตการแจงนับฮาร์ดแวร์และแบบอักษร (ขอบคุณ Hubert ที่ส่งเคล็ดลับ)