Обеспечить глобальные настройки безопасности и конфиденциальности Flash Player

Попробуйте наш инструмент устранения неполадок

Завсегдатаи гаков знают, что настроить Adobe Reader можно из диспетчера настроек. страница на сайте Macromedia. Системные администраторы и эксперты по безопасности решили две проблемы с онлайн-доступностью диспетчера настроек. Злоумышленники могут, например, подделать сертификаты, чтобы внести изменения в настройки. Другая проблема заключается в том, что невозможно внести изменения для всех пользователей системы.

То, что Adobe Flash Player можно настроить глобально, является хорошо секретом. Администраторам и пользователям, желающим это сделать, необходимо создать файл mms.cfg. Этот файл необходимо сохранить в следующих каталогах, чтобы Flash Player мог получить доступ к нему:

  • Windows:% Windir% System32 Macromed Flash
  • Macintosh: / Библиотека / Поддержка приложений / Macromedia
  • Linux: / и т.д. / Adobe /

В файле конфигурации поддерживаются следующие параметры:

  • AllowUserLocalTrust Позволяет запретить пользователям помечать любые файлы в локальных файловых системах как доверенные.
  • AssetCacheSize Позволяет указать жесткое ограничение в МБ для объема локального хранилища, которое Flash Player использует для хранения общих компонентов Flash.
  • AutoUpdateDisable Позволяет предотвратить автоматическую проверку и установку обновленных версий Flash Player.
  • AutoUpdateInterval Позволяет указать, как часто нужно проверять наличие обновленной версии Flash Player.
  • AVHardwareDisable Позволяет предотвратить доступ файлов SWF к веб-камерам или микрофонам.
  • DisableDeviceFontEnumeration Позволяет запретить отображение информации об установленных шрифтах.
  • DisableNetworkAndFilesystemInHostApp Позволяет предотвратить любой доступ к сети или файловой системе.
  • DisableProductDownload Позволяет предотвратить загрузку приложений с собственным кодом, снабженных цифровой подписью и предоставленных Adobe.
  • DisableSockets Позволяет включить или отключить использование методов Socket.connect () и XMLSocket.connect ().
  • EnableSocketsTo Позволяет создать белый список серверов, к которым разрешены подключения к сокетам.
  • EnforceLocalSecurityInActiveXHostApp Позволяет применять локальные правила безопасности для указанного приложения.
  • FileDownloadDisable Позволяет запретить API-интерфейс ActionScript FileReference выполнять загрузку файлов.
  • FileUploadDisable Позволяет запретить API-интерфейс ActionScript FileReference выполнять загрузку файлов.
  • FullScreenDisable Позволяет отключить отображение SWF-файлов, воспроизводимых через подключаемый модуль браузера, в полноэкранном режиме.
  • LegacyDomainMatching Позволяет указать, могут ли SWF-файлы, созданные для Flash Player 6 и более ранних версий, выполнять операцию, которая была ограничена в более новой версии Flash Player.
  • LocalFileLegacyAction Позволяет указать, как Flash Player определяет, следует ли выполнять определенные локальные SWF-файлы, изначально созданные для Flash Player 7 и более ранних версий.
  • LocalFileReadDisable Позволяет запретить локальным SWF-файлам доступ на чтение к файлам на локальных жестких дисках.
  • LocalStorageLimit Позволяет указать жесткое ограничение на объем локального хранилища, которое Flash Player использует (на домен) для постоянных общих объектов.
  • OverrideGPUValidation Отменяет проверку требований, необходимых для реализации композитинга на GPU.
  • ProductDisabled Создает список приложений ProductManager, которые пользователям не разрешено устанавливать или запускать.
  • RTMFPP2PDisable Определяет, как конструктор NetStream подключается к серверу, когда значение указывается для peerID, второго параметра, передаваемого конструктору.
  • RTMFPTURNProxy Позволяет Flash Player устанавливать RTMFP-соединения через указанный сервер TURN в дополнение к обычным сокетам UDP.
  • ThirdPartyStorage Позволяет указать, могут ли сторонние SWF-файлы читать и записывать локально постоянные общие объекты.

Для большинства параметров можно установить значение 0 = ложь или 1 = истина. Базовым примером является команда AVHardwareDisable = 1, которая блокирует доступ к SWF-файлу веб-камерам и микрофонам. Значение 0 позволяет пользователю настраивать параметр в диспетчере настроек.

Параметры конфиденциальности:

AVHardwareDisable = [0,1]
DisableDeviceFontEnumeration = [0,1]

Определяет, могут ли SWF-файлы извлекать список установленных шрифтов из компьютерной системы. Установка на 1 означает, что они не могут этого сделать, а 0 означает, что информация может быть возвращена.

Параметры пользовательского интерфейса:

FullScreenDisable = [0,1]

Определяет, может ли SWF-файл отображаться в полноэкранном режиме. Значение 1 предотвращает это, а 0 позволяет.

Варианты загрузки и хранения данных:

LocalFileReadDisable = [0,1]

Значение 1 запрещает локальным SWF-файлам иметь доступ на чтение к файлам на локальном жестком диске, что означает, что локальные SWF-файлы не могут работать. Удаленный SWF-файл не может выгружать или скачивать файлы.

FileDownloadDisable = [0,1]

Установка параметра в 1 отключает загрузку файлов, а 0 разрешает.

FileUploadDisable = [0,1]

То же, что и FileDownloadDisable, с той разницей, что он блокирует или разрешает загрузку файлов.

LocalStorageLimit = [1,2,3,4,5,6]

Это устанавливает предел локального хранилища, которое Flash Player может выделить для каждого домена. (1 = без хранилища, 2 = 10 КБ, 3 = 100 КБ, 4 = 1 МБ, 5 = 10 МБ, 6 = без ограничений]

ThirdPartyStorage = [0,1]

Если это значение установлено на 1, сторонние SWF-файлы (те, которые происходят из другого домена, чем текущий) могут читать и записывать локально постоянные общие объекты. Если это значение установлено на 0, сторонние SWF-файлы не могут читать или записывать локально постоянные общие объекты.

AssetCacheSize = [0, количество мегабайт]

Это значение указывает жесткое ограничение в МБ для объема локального хранилища, которое Flash Player использует для хранения общих компонентов Flash. Если этот параметр не включен в файл mms.cfg, диспетчер параметров позволяет пользователю указать, разрешать ли хранение компонентов. Однако пользователь не может указать, какой объем локального хранилища следует использовать. Ограничение по умолчанию - 20 МБ.

Параметры обновления:

AutoUpdateDisable = [0,1]

Если установлено значение 1, Flash Player отключает автоматическое обновление. Это не позволяет Flash Player периодически проверять наличие обновленных версий. Если установлено значение 1, следующие параметры игнорируются.

AutoUpdateInterval = [количество дней]

Определяет интервал, в течение которого Flash Player проверяет наличие новых версий. Значение по умолчанию - 30 дней.

DisableProductDownload = [0,1]

Если для этого значения установлено значение 0 (по умолчанию), Flash Player может устанавливать приложения с собственным кодом, которые имеют цифровую подпись и поставляются Adobe. Adobe использует эту возможность для доставки обновлений Flash Player через инициированный разработчиком процесс экспресс-установки, а также для предоставления функции совместного использования экрана Adobe Acrobat Connect. Если это значение установлено на 1, эти возможности отключены.

ProductDisabled = название приложения

T Этот параметр действует, только если DisableProductDownload имеет значение 0 или отсутствует в файле mms.cfg; он создает список приложений ProductManager, которые пользователям не разрешено устанавливать или запускать.

Параметры безопасности:

LegacyDomainMatching = [0,1]

Этот параметр определяет, разрешить ли SWF-файлу, созданному для Flash Player 6 и более ранних версий, выполнять операцию, которая была ограничена в более новой версии Flash Player.

LocalFileLegacyAction = [0,1]

Этот параметр определяет, как Flash Player определяет, следует ли выполнять определенные локальные SWF-файлы, изначально созданные для Flash Player 7 и более ранних версий.

AllowUserLocalTrust = [0,1]

Этот параметр позволяет запретить пользователям обозначать любые файлы в локальных файловых системах как доверенные (то есть помещать их в локальную надежную изолированную программную среду). Этот параметр применяется к SWF-файлам, опубликованным для любой версии Flash.

EnforceLocalSecurityInActiveXHostApp = исполняемое имя файла

По умолчанию локальная безопасность отключена всякий раз, когда элемент управления ActiveX работает в хост-приложении, отличном от браузера. В редких случаях, когда это вызывает проблему, вы можете использовать этот параметр, чтобы применить локальные правила безопасности для указанного приложения. Вы можете обеспечить локальную безопасность для нескольких приложений, введя отдельную запись EnforceLocalSecurityInActiveXHostApp для каждого приложения.

DisableNetworkAndFilesystemInHostApp = исполняемое имя файла

Этот параметр аналогичен EnforceLocalSecurityInActiveXHostApp, но применяется как к подключаемым модулям, так и к элементу управления ActiveX, и вводит более строгие меры безопасности. Когда подключаемый модуль или элемент управления ActiveX выполняется в указанном приложении, это будет выглядеть так, как если бы параметр HTML allowNetworking = 'none' был указан. То есть не будет разрешен какой-либо доступ к сети или файловой системе, а SWF, запущенный в Flash Player, будет работать без возможности загрузки каких-либо дополнительных носителей или связи с какими-либо серверами. Вы можете усилить локальную безопасность для нескольких приложений, введя отдельный

Варианты подключения к розетке

DisableSockets = [0,1]

Эта опция включает или отключает использование Socket.connect () и
XMLSocket.connect () методы. Если вы не включите этот параметр в файл mms.cfg или если его значение равно 0, сокетные подключения разрешены к любому серверу. Если это значение установлено в 1, соединения через сокеты не разрешены. Однако, если вы хотите отключить некоторые, но не все подключения к сокетам, установите для этого значения значение 1, а затем используйте EnableSocketsTo, чтобы указать один или несколько серверов, к которым можно выполнять подключения к сокетам.

EnableSocketsto = [имя хоста, IP-адрес]

Этот параметр эффективен, только если DisableSockets имеет значение 1; он создает белый список серверов, к которым разрешены соединения через сокеты. В отличие от большинства других параметров mms.cfg, вы можете использовать этот параметр столько раз, сколько необходимо для вашей среды. Обратите внимание, что указанные серверы являются целевыми серверами, к которым выполняются соединения через сокеты; они не являются исходными серверами, с которых обслуживаются подключаемые SWF-файлы.

Создание графического процессора:

OverrideGPUValidation = [0, 1]

Функция компоновки графического процессора зависит от версии драйвера для видеокарт. Если комбинация карты и драйвера не соответствует требованиям, необходимым для реализации композитинга, установите OverrideGPUValidation на 1, чтобы переопределить проверку требований драйвера. Например, вы можете захотеть включить композитинг на графическом процессоре во время определенного набора тестов, даже если видеодрайвер на тестовой машине не соответствует требованиям композитинга. Этот параметр отменяет ограничение версии драйвера, но по-прежнему проверяет требования к VRAM.

Варианты RTMFP:

RTMFPP2PDisable = [0, 1]

Этот параметр указывает, как конструктор NetStream подключается к серверу, когда значение указывается для peerID, второго параметра, передаваемого конструктору. Если RTMFPP2PDisable имеет значение 0 или отсутствует в файле mms.cfg, можно использовать одноранговое (P2P) соединение. Если это значение равно 1, любое значение, указанное для peerID, игнорируется и P2P-соединения не используются.

RTMFPTURNProxy = URL прокси-сервера TURN

Если этот параметр присутствует, Flash Player пытается установить подключения RTMFP через указанный сервер TURN в дополнение к обычным сокетам UDP. Серверы TURN полезны для передачи сетевого трафика RTMFP через брандмауэры, которые в противном случае блокируют UDP-пакеты.

Дополнительная информация:

flash player 10.0 руководство администратора
Веб-сайт руководства администратора Adobe Flash Player 10.
Пример конфигурации mms
Недавний человек в средней уязвимости [немецкий]

Конфигурация - это простой пример файла, который отключает проверки обновлений, перечисление оборудования и шрифтов. (спасибо Хьюберту за отзыв).