Izpildiet globālo Flash Player drošības un konfidencialitātes iestatījumus

Ghacks pastāvīgie pārstāvji zina, ka Adobe Reader ir iespējams konfigurēt no iestatījumu pārvaldnieka lappuse Macromedia vietnē. Sistēmas administratori un drošības eksperti ir pievērsušies divām problēmām, kas saistītas ar iestatījumu pārvaldnieka tiešsaistes pieejamību. Uzbrucēji, piemēram, var viltotus sertifikātus, lai mainītu iestatījumus. Vēl viena problēma ir tā, ka nav iespējams veikt izmaiņas visiem sistēmas lietotājiem.

Tas ir labi glabāts noslēpums, ka Adobe Flash Player var konfigurēt visā pasaulē. Administratoriem un lietotājiem, kuri to vēlas, jāizveido fails mms.cfg. Šis fails ir jāuzglabā šādos direktorijos, lai tam piekļūtu Flash Player:

  • Windows:% Windir% System32 Macromed Flash
  • Macintosh: / Bibliotēka / Lietojumprogrammu atbalsts / Macromedia
  • Linux: / etc / Adobe /

Konfigurācijas fails atbalsta šādus parametrus:

  • AtļautUserLocalTrust Ļauj lietotājiem neļaut vietējos failu sistēmās norādīt failus kā uzticamus.
  • AssetCacheSize Ļauj jums norādīt cieto limitu MB vietējās krātuves apjomam, ko Flash Player izmanto parasto Flash komponentu glabāšanai.
  • Automātiska atjaunināšana Neļauj Flash Player automātiski pārbaudīt un instalēt atjauninātās versijas.
  • AutoUpdateInterval Ļauj norādīt, cik bieži jāpārbauda atjaunināta Flash Player versija.
  • AVHardwareDisable Ļauj neļaut SWF failiem piekļūt tīmekļa kamerām vai mikrofoniem.
  • DisableDeviceFontEnumeration Neļauj parādīt informāciju par instalētajiem fontiem.
  • DisableNetworkAndFilesystemInHostApp Ļauj novērst jebkāda veida tīkla izveidošanu vai piekļuvi failu sistēmai.
  • DisableProductDownload Neļauj lejupielādēt vietējā koda lietojumprogrammas, kuras ir digitāli parakstītas un piegādātas Adobe.
  • DisableSockets Ļauj iespējot vai atspējot Socket.connect () un XMLSocket.connect () metožu izmantošanu.
  • EnableSocketsTo Ļauj izveidot to serveru balto sarakstu, kuriem ir atļauti ligzdas savienojumi.
  • EnforceLocalSecurityInActiveXHostApp Ļauj jums ieviest vietējās drošības noteikumus noteiktai lietojumprogrammai.
  • FileDownloadDisable Ļauj neļaut ActionScript FileReference API veikt failu lejupielādi.
  • FileUploadDisable Ļauj neļaut ActionScript FileReference API veikt failu augšupielādi.
  • Pilnekrāna displejs Ļauj atspējot SWF failu atskaņošanu, izmantojot pārlūka spraudni, lai tie netiktu rādīti pilnekrāna režīmā.
  • LegacyDomainMatching Ļauj norādīt, vai SWF faili, kas ražoti Flash Player 6 un vecākām versijām, var veikt operāciju, kas ir ierobežota jaunākā Flash Player versijā.
  • LocalFileLegacyAction Ļauj norādīt, kā Flash Player nosaka, vai izpildīt noteiktus vietējos SWF failus, kas sākotnēji tika ražoti Flash Player 7 un vecākai versijai.
  • LocalFileReadDisable Ļauj neļaut vietējiem SWF failiem lasīt piekļuvi failiem uz vietējiem cietajiem diskiem.
  • LocalStorageLimit Ļauj precīzi noteikt vietējās krātuves daudzumu, ko Flash Player izmanto (katram domēnam) noturīgiem koplietotiem objektiem.
  • IgnorētGPUValidation Tiek ignorētas GPU kompozīcijas ieviešanai nepieciešamo prasību apstiprināšana.
  • Produkts ir atspējots Izveido sarakstu ar ProductManager lietojumprogrammām, kuras lietotājiem nav atļauts instalēt vai palaist.
  • RTMFPP2PDeable Norāda, kā NetStream konstruktors izveido savienojumu ar serveri, kad tiek noteikta vērtība peerID, otrais parametrs, kas nodots konstruktoram.
  • RTMFPTURNProxy Ļauj Flash Player papildus normālajām UDP ligzdām izveidot RTMFP savienojumus caur norādīto TURN serveri.
  • ThirdPartyStorage Ļauj norādīt, vai trešo personu SWF faili var lasīt un rakstīt lokāli noturīgus koplietotus objektus.

Lielāko daļu iespēju var iestatīt uz 0 = nepatiesu vai 1 = patiesu. Pamata piemērs ir komanda AVHardwareDisable = 1, kas bloķē SWF failu piekļuvi tīmekļa kamerām un mikrofoniem. Vērtība 0 ļauj lietotājam konfigurēt iestatījumu iestatījumu pārvaldniekā.

Konfidencialitātes parametri:

AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]

Nosaka, vai SWF faili var izvilkt instalēto fontu sarakstu no datorsistēmas. Iestatot to uz 1, viņi to nevar izdarīt, bet 0 nozīmē, ka informāciju var atgriezt.

Lietotāja saskarnes parametri:

FullScreenDisable = [0,1]

Nosaka, vai SWF failu var parādīt pilnekrāna režīmā. Vērtība 1 to liedz, bet 0 ļauj.

Datu ielādes un glabāšanas iespējas:

LocalFileReadDisable = [0,1]

Vērtība 1 neļauj vietējiem SWF failiem lasīt piekļuvi failiem vietējā cietajā diskā, kas nozīmē, ka vietējie SWF faili nevar darboties. Attālie SWF nevar augšupielādēt vai lejupielādēt failus.

FileDownloadDisable = [0,1]

Iestatot parametru 1, tiek atspējota failu lejupielāde, bet 0 -.

FileUploadDisable = [0,1]

Tas pats, kas FileDownloadDisable, ar atšķirību, ka tas bloķē vai ļauj augšupielādēt failus.

LocalStorageLimit = [1,2,3,4,5,6]

Tas nosaka vietējās krātuves ierobežojumu, ko Flash atskaņotājs var piešķirt katram domēnam. (1 = nav atmiņas, 2 = 10 KB, 3 = 100 KB, 4 = 1 MB, 5 = 10 MB, 6 = nav ierobežojumu]

ThirdPartyStorage = [0,1]

Ja šī vērtība ir iestatīta uz 1, trešo pušu SWF faili (tie, kuru izcelsme ir citā domēnā nekā pašreizējais) var lasīt un rakstīt lokāli noturīgus koplietotus objektus. Ja šī vērtība ir iestatīta uz 0, trešo pušu SWF faili nevar nolasīt vai rakstīt lokāli noturīgus koplietotus objektus.

AssetCacheSize = [0, megabaitu skaits]

Šī vērtība norāda cieto limitu MB vietējās atmiņas apjomā, ko Flash Player izmanto parasto Flash komponentu glabāšanai. Ja šī opcija nav iekļauta failā mms.cfg, iestatījumu pārvaldnieks ļauj lietotājam norādīt, vai atļaut komponentu glabāšanu. Tomēr lietotājs nevar norādīt, cik daudz vietējās atmiņas vietas izmantot. Noklusējuma ierobežojums ir 20 MB.

Atjaunināšanas opcijas:

Automātiska atjaunināšana = [0.1]

Ja iestatīts uz 1, Flash Player atspējo automātisko atjaunināšanu. Tas neļauj Flash Player periodiski pārbaudīt atjauninātās versijas. Ja iestatīts uz 1, šie parametri tiek ignorēti.

AutoUpdateInterval = [dienu skaits]

Nosaka intervālu, kurā Flash Player pārbauda jaunas versijas. Noklusējuma vērtība ir 30 dienas.

DisableProductDownload = [0,1]

Ja šī vērtība ir iestatīta uz 0 (noklusējuma vērtība), Flash Player var instalēt vietējā koda lietojumprogrammas, kuras ir digitāli parakstītas un piegādātas Adobe. Adobe izmanto šo iespēju, lai piegādātu Flash Player atjauninājumus, izmantojot izstrādātāja ierosināto Express Install procesu, un lai nodrošinātu Adobe Acrobat Connect ekrāna koplietošanas funkciju. Ja šī vērtība ir iestatīta uz 1, šīs iespējas tiek atspējotas.

ProductDisabled = lietojumprogrammas nosaukums

TTŠī opcija ir efektīva tikai tad, ja DisableProductDownload ir vērtība 0 vai tā nav mms.cfg failā; tas izveido to ProductManager lietojumprogrammu sarakstu, kuras lietotājiem nav atļauts instalēt vai palaist.

Drošības iespējas:

LegacyDomainMatching = [0,1]

Šis iestatījums kontrolē, vai atļaut SWF failam, kas izveidots Flash Player 6 un vecākai versijai, veikt darbību, kas ir ierobežota jaunākā Flash Player versijā.

LocalFileLegacyAction = [0,1]

Šis iestatījums kontrolē to, kā Flash Player nosaka, vai izpildīt noteiktus vietējos SWF failus, kas sākotnēji tika ražoti Flash Player 7 un vecākai versijai.

AllowUserLocalTrust = [0,1]

Šis iestatījums ļauj neļaut lietotājiem apzīmēt visus failus lokālajās failu sistēmās kā uzticamus (tas ir, ievietojot tos vietējā uzticamajā smilškastē). Šis iestatījums attiecas uz SWF failiem, kas publicēti jebkurai Flash versijai.

EnforceLocalSecurityInActiveXHostApp = izpildāms faila nosaukums

Pēc noklusējuma vietējā drošība ir atspējota ikreiz, kad ActiveX vadīkla darbojas resursdatora lietojumprogrammā, kas nav pārlūkprogramma. Retos gadījumos, kad tas rada problēmu, varat izmantot šo iestatījumu, lai norādītajā lietojumprogrammā ieviestu vietējos drošības noteikumus. Varat ieviest vietēju drošību vairākām lietojumprogrammām, katrai lietojumprogrammai ievadot atsevišķu EnforceLocalSecurityInActiveXHostApp ierakstu.

DisableNetworkAndFilesystemInHostApp = izpildāmā faila nosaukums

Šī opcija ir līdzīga EnforceLocalSecurityInActiveXHostApp, taču tā attiecas uz spraudņiem, kā arī uz ActiveX vadīklu un uzliek stingrākas drošības kontroles. Kad spraudnis vai ActiveX vadīkla darbojas norādītajā lietojumprogrammā, tas it kā būtu norādīts HTML parametrs lubaNetworking = 'nav'. Tas ir, netiks atļauta nekāda veida tīkla izveidošana vai piekļuve failu sistēmai, un Flash Player darbināmā SWF darbosies bez iespējas ielādēt papildu multividi vai sazināties ar serveriem. Vietējo drošību vairākām lietojumprogrammām varat ieviest, ievadot atsevišķu

Kontaktligzdas savienojuma iespējas

DisableSockets = [0,1]

Šī opcija ļauj iespējot vai atspējot Socket.connect () un
XMLSocket.connect () metodes. Ja neiekļaujat šo opciju failā mms.cfg vai ja tā vērtība ir iestatīta uz 0, ligzdas savienojumi ir atļauti jebkuram serverim. Ja šī vērtība ir iestatīta uz 1, ligzdas savienojumi nav atļauti. Tomēr, ja vēlaties atspējot dažus, bet ne visus ligzdas savienojumus, iestatiet šo vērtību uz 1 un pēc tam izmantojiet EnableSocketsTo, lai norādītu vienu vai vairākus serverus, kuriem var izveidot kontaktligzdas.

EnableSocketsto = [resursdatora nosaukums, IP adrese]

Šī opcija ir efektīva tikai tad, ja DisableSockets ir vērtība 1; tas izveido to serveru balto sarakstu, kuriem ir atļauti ligzdas savienojumi. Atšķirībā no vairuma citu mms.cfg opciju, jūs varat izmantot šo opciju tik reižu, cik tas ir piemērots jūsu videi. Ņemiet vērā, ka norādītie serveri ir mērķa serveri, kuriem tiek izveidoti kontaktligzdas; tie nav izcelsmes serveri, no kuriem tiek piegādāti savienojošie SWF faili.

GPU kompozīcija:

IgnorētGPUValidation = [0, 1]

GPU kompozīcijas funkciju nodrošina draivera versija videokartēm. Ja kartes un vadītāja kombinācija neatbilst prasībām, kas vajadzīgas kompozīcijas ieviešanai, iestatiet OverrideGPUValidation uz 1, lai ignorētu vadītāja prasību validāciju. Piemēram, jūs varētu vēlēties, lai GPU kompozīcija būtu iespējota noteiktā testa komplektā, pat ja testa mašīnā esošais video draiveris neatbilst kompozīcijas prasībām. Šis iestatījums ignorē draivera versijas iegūšanu, taču joprojām pārbauda VRAM prasības.

RTMFP iespējas:

RTMFPP2PDeable = [0, 1]

Šī opcija norāda, kā NetStream konstruktors izveido savienojumu ar serveri, kad tiek noteikta vērtība peerID, otrais parametrs, kas nodots konstruktoram. Ja RTMFPP2PDisable ir vērtība 0 vai tā nav mms.cfg failā, var izmantot vienādranga (P2P) savienojumu. Ja šī vērtība ir 1, jebkura peerID norādītā vērtība tiek ignorēta, un P2P savienojumi ir d

RTMFPTURNProxy = TURN starpniekservera URL

Ja šī opcija pastāv, Flash Player papildus parastajām UDP ligzdām mēģina izveidot RTMFP savienojumus arī caur norādīto TURN serveri. TURN serveri ir noderīgi, lai RTMFP tīkla trafiku novirzītu caur ugunsmūriem, kas citādi bloķē UDP paketes.

Papildus informācija:

Flash Player 10.0 administratora rokasgrāmata
Adobe Flash Player 10 Admin Guide vietne.
mms konfigurācijas piemērs
Nesenā cilvēka vidējā ievainojamība [vācu valodā]

Konfigurācija ir pamata faila piemērs, kas atspējo atjauninājumu pārbaudes, aparatūras un fontu uzskaitīšanu. (paldies Hubertam, ka nosūtījāt padomu).