Re: [DFRI-listan] Flash-proxy

[Linus Nordberg <linus@xxxxxxxxxxx>]

Emil Tullstedt <sakjur@xxxxxxxxx> wrote
Thu, 27 Jun 2013 13:24:31 +0200:

| Jag tror att det kan vara en smart detalj att nämna att flashproxy använder
| sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap
| kommer att dra associationen till Adobe Flash...

Tack.

Lade till 

--8<---------------cut here---------------start------------->8---
Namnet till trots så har flash-proxy inget med Adobe Flash att
göra. Webläsaren behöver alltså inte Adobe Flash för att flash-proxy
skall fungera. Däremot måste den ha stöd för JavaScript med
Websockets.
--8<---------------cut here---------------end--------------->8---


| Appropå säkerheten i det - med tanke på att det är rå JavaScript så är det
| tio gånger större risk att inte använda NoScript än att köra Flashproxy, då
| alla eventuella säkerhetshål som utnyttjas isåfall är delar av
| HTML-standarden.
| 
| När man läser om flashproxy på W3C (
| http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att
| största risken är just XSS (cross site scripting) och det är ju just den
| detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan.
| 
| Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple,
| Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar
| enormt mycket pengar på säkerhet och har väldigt mycket att förlora på
| öppna säkerhetshål i sina webbläsare.
| 
| Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser
| till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är
| bara knappt större än med Skype/surfning/BitTorrent egentligen.

Hur menar du?