(Источник: «Компьютерные вести» №45, 19 ноября 2009 года)
Специалисты по безопасности из Foreground Security обнаружили проблему с Adobe Flash, которая затрагивает почти все сайты, поддерживающие загрузку пользовательского контента, даже если сам сайт формально не показывает Flash. Дело в том, что ничто не мешает сделать object/embed на какой-нибудь страничке, не имеющей отношения к сайту, потому как Flash имеет доступ к cookies того домена, с которого он загружен (а не того, где расположен тег object).
Проблема заключается в свойстве Actionscript same-origin, которое допускает выполнение активного контента в рамках данного домена. Но если UGC можно загрузить на доверенный сайт, то вредоносный скрипт выполнится у всех посетителей этого сайта, у которых установлен Flash.
Компания Adobe сказала, что исправить баг очень непросто, и переложила всю ответственность за защиту от вредоносного кода на администраторов сайтов. Рекомендуется выделять для хранения UGC отдельный домен. Но не всегда это возможно: даже сайт самой компании Adobe подвержен данной уязвимости.
Подробнее об уязвимости можно прочитать у Майка Мюррея, который также демонстрирует на видео пример атаки через Gmail: www.foregroundsecurity.com/MyBlog/flash … ssues.html.
1. Решето!.
2. Ничего не поделаешь, это Flash
krigstask
А что "вместо"?
А ничего. Вся надежда на HTML5. Сами себя загнали в ловушку, теперь поздно плакаться (-:Е
В нормальных-то системах ещё есть Gnash и swfdec, но они работают так себе, даже если сбросить со счетов поганую совместимость.
забавно. плохие люди никогда не спят, даже во сне. интересно что из этого выльется. пока этот HTML5 довылупится еще много рек успеет пересохнуть.
А что "вместо"?
Сильверлайт!
Хотя я до этой технологии пока так и не добрался, так что реплика скорее на правах флейма.
доля правды в этом есть, МС может этим воспользоваться для пиара Сильверлайта. видел этот СЛ в действии, на мое впечатление тотже флэш просто от другой шараги 
просто программеры обленились
в ФФ3.5 уже есть поддержка canvas для векторной графики и анимации и встроенная поддержка видео (ogg)
и нафиг он нужен это флэш когда достаточно жабаскрипта?
вон народ думообразную демку заделал чисто на жабаскрипте без флэша
http://www.benjoffe.com/code/demos/canvascape/textures
(перемещаться стрелочками)
http://videos.mozilla.org/firefox/3.5/t … ankyou.ogvвидео
а для 3д уже давно есть стандарт VRML
гнать надо адобу пинками чтоб пока не доведут до ума свой флэш не возвращались..
okkamas_knife
Для 3D есть WebGL (который пилят в фоксе и вебките), а VRML мертворожден.
Lain_13
ну тем более.. я просто не занимаюсь этим поэтому не слежу.. одно время давно баловался врмл..
кстати WebGL еще не допилен походу
3.5.5 пока его не тянет..(по крайней мере те демки что я нашел не пошли)
хотя как я почитал там один из вариантов canvas юзается
а значит штука хорошая насколько я могу судить покопавшись с canvas 2d и canvas text.
хотя врмл зря забросили к нему бы нормальных фришных редакторов да плагин нормальный опенсорц(тот что есть кошмарный) или вообще встроить поддержку в браузер..
просто вебгл больше всетаки подходит для генерации контента
а врмл с хорошим редактором отличная штука для создания миров,
хотя если выпустят нормальный визуальный редактор для вебгл то буддет ок.