ACTIONSCRIPT™ 3.0 프로그래밍

Transcription

1 제 26 장 Flash Player 보안 26 보안 문제는 Adobe, 사용자, 웹 사이트 소유자 및 내용 개발자의 주요 관심사입니다. 이에 따 라 Adobe Flash Player 9에는 이러한 사용자, 웹 사이트 소유자 및 내용 개발자를 보호하기 위 해 일련의 보안 규칙과 컨트롤이 포함되어 있습니다. 이 장에서는 Flash 응용 프로그램을 개 발할 때 Flash Player 보안 모델을 사용하는 방법에 대해 설명합니다. 여기에 언급된 모든 SWF 파일은 따로 명시하지 않는 한 ActionScript 3.0을 사용하여 제작되었으며 Flash Player 9 이상에서 실행되는 것으로 가정합니다. 이 장은 보안에 대한 개괄적 설명을 포함하며 특정 API를 사용한 상세 구현 정보, 사용 시나리 오 또는 기타 세부 사항에 대해 포괄적으로 설명하기 위한 것은 아닙니다. Flash Player 보안 개념에 대한 자세한 내용은 Flash Player 9 보안 백서를 참조하십시오. 목차 Flash Player 보안 개요 권한 컨트롤 개요 보안 샌드박스 네트워킹 API 제한 전체 화면 모드 보안 내용 로드 크로스 스크립팅 데이터로 로드된 미디어 액세스 데이터 로드 보안 도메인으로 가져온 SWF 파일에서 포함된 내용 로드 이전 내용으로 작업 LocalConnection 권한 설정 호스트 웹 페이지에서 스크립트에 대한 액세스 제어 공유 객체 카메라, 마이크, 클립보드, 마우스 및 키보드 액세스

2 Flash Player 보안 개요 대부분의 Flash Player 보안은 로드된 SWF 파일, 미디어 및 기타 에셋의 원래 도메인을 기반 으로 합니다. 같은 특정 인터넷 도메인을 기반으로 하는 SWF 파일은 언 제든지 해당 도메인의 모든 데이터에 액세스할 수 있습니다. 이러한 에셋은 보안 샌드박스라 는 동일한 보안 그룹에 포함됩니다. 자세한 내용은 719페이지의 보안 샌드박스 를 참조하 십시오. 예를 들어, SWF 파일은 SWF 파일, 비트맵, 오디오, 텍스트 파일 및 자체 도메인의 모든 에셋 을 로드할 수 있습니다. 또한 동일한 도메인에서 ActionScript 3.0으로 작성된 두 SWF 파일 간 의 크로스 스크립팅은 항상 허용됩니다. 크로스 스크립팅은 ActionScript를 사용하여 하나의 SWF 파일에서 다른 SWF 파일의 속성, 메서드 및 객체에 액세스하는 기능입니다. ActionScript 3.0을 사용하여 작성된 SWF 파일과 ActionScript 3.0 이전 버전을 사용하여 작성 된 SWF 파일 간의 크로스 스크립팅은 지원되지 않습니다. 단, LocalConnection 클래스를 사용 하여 이러한 파일 간의 통신은 가능합니다. 자세한 내용은 728페이지의 크로스 스크립팅 을 참조하십시오. 기본적으로 다음과 같은 기본 보안 규칙이 적용됩니다. 동일한 보안 샌드박스의 리소스는 항상 서로 액세스할 수 있습니다. 원격 샌드박스의 SWF 파일에서는 로컬 파일과 데이터에 액세스할 수 없습니다. Flash Player는 다음을 개별 도메인으로 간주하고 각각에 대해 개별 보안 샌드박스를 설정합 니다 같은 이름을 가진 도메인이 등의 특정 IP 주소로 매핑되는 경우에도 각각에 대해 개별 보안 샌드박스가 설정됩니다. SWF 파일에서 해당 샌드박스가 아닌 다른 샌드박스의 에셋에 액세스할 수 있도록 하기 위해 개발자는 다음과 같은 기본적인 두 가지 메서드를 사용할 수 있습니다. Security.allowDomain() 메서드(717페이지의 제작자(개발자) 컨트롤 참조) 크로스 도메인 정책 파일(714페이지의 웹 사이트 컨트롤(크로스 도메인 정책 파일) 참조) 다른 도메인에서 ActionScript 3.0 SWF 파일을 크로스 스크립팅하거나 다른 도메인의 데이 터를 로드하는 SWF 파일 기능은 기본적으로 사용할 수 없습니다. 단, 로드된 SWF 파일에서 Security.allowDomain() 메서드를 호출하면 이 기능을 사용할 수 있습니다. 자세한 내용 은 728페이지의 크로스 스크립팅 을 참조하십시오. 708 Flash Player 보안

3 Flash Player 보안 모델에서는 내용을 로드하는 것과 데이터를 액세스하거나 로드하는 것을 구분합니다. 내용 로드 - 내용이 시각적 미디어를 포함한 미디어로 정의된 경우 Flash Player는 오디오, 비디오 또는 표시된 미디어를 포함하는 SWF 파일을 표시합니다. 데이터는 ActionScript 코드에만 액세스할 수 있는 항목으로 정의됩니다. Loader, Sound 및 NetStream과 같은 클래스를 사용하여 내용을 로드할 수 있습니다. 데이터 또는 데이터 로드로 내용 액세스 - 로드된 미디어 내용에서 데이터를 추출하거나 XML 파일 등의 외부 파일에서 데이터를 직접 로드하는 두 가지 방법을 사용하여 데이터 에 액세스할 수 있습니다. 비트맵 객체, BitmapData.draw() 메서드, Sound.id3 속성 또 는 SoundMixer.computeSpectrum() 메서드를 사용하여 로드된 미디어에서 데이터를 추출할 수 있습니다. URLStream, URLLoader, Socket 및 XMLSocket 등의 클래스를 사용 하여 데이터를 로드할 수 있습니다. Flash Player 보안 모델은 내용 로드와 데이터 액세스에 대해 서로 다른 규칙을 정의합니다. 일반적으로 데이터에 액세스하는 것보다 내용을 로드하는 데 적용되는 제한이 적습니다. 일반적으로, SWF 파일, 비트맵, mp3 파일, 비디오 등의 내용은 모든 위치에서 로드될 수 있지 만 로드하는 SWF 파일의 도메인이 아닌 다른 도메인의 내용은 별도의 보안 샌드박스로 구 분됩니다. 내용을 로드하는 데는 다음과 같은 몇 가지 제한이 있습니다. 기본적으로 사용자의 하드 드라이브와 같이 네트워크 주소가 아닌 위치에서 로드된 로컬 SWF 파일은 local-with-filesystem 샌드박스로 분류됩니다. 이러한 파일은 네트워크에서 내 용을 로드할 수 없습니다. 자세한 내용은 719페이지의 로컬 샌드박스 를 참조하십시오. RTMP(Real-Time Messaging Protocol) 서버로 내용에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 728페이지의 RTMP 서버를 사용하여 제공된 내용 을 참조하십시오. 로드된 미디어가 이미지, 오디오, 비디오 또는 해당 데이터(픽셀 데이터 및 사운드 데이터 등) 인 경우, SWF 파일의 도메인이 미디어의 원래 도메인에 있는 크로스 도메인 정책 파일에 포 함된 경우가 아닌 한, 해당 보안 샌드박스 외부에 있는 SWF 파일에서 로드된 미디어에 액세 스할 수 없습니다. 자세한 내용은 732페이지의 데이터로 로드된 미디어 액세스 를 참조하 십시오. 다른 형식의 로드된 데이터에는 URLLoader 객체를 통해 로드되는 텍스트나 XML 파일이 있 습니다. 이 경우에도 다른 보안 샌드박스에서 모든 데이터에 액세스하려면 원래 도메인에 있 는 크로스 도메인 정책 파일을 통해 액세스 권한이 부여되어야 합니다. 자세한 내용은 735페 이지의 URLLoader 및 URLStream 사용 을 참조하십시오. Flash Player 보안 개요 709

4 권한 컨트롤 개요 Flash Player 클라이언트 런타임 보안 모델은 리소스를 중심으로 설계되어 있으며, 이러한 리 소스는 SWF 파일, 로컬 데이터 및 인터넷 URL 등의 객체입니다. 이러한 리소스를 소유하거나 사용하는 관계자는 자신이 소유한 리소스에 대해 컨트롤(보안 설정)을 실행할 수 있습니다. 각 리소스에는 네 명의 관계자가 있습니다. Flash Player에서는 다음 그림과 같이 컨트롤에 대 해 권한 계층 구조를 엄격하게 적용합니다. 보안 컨트롤 계층 구조 예를 들어, 관리자가 리소스에 대한 액세스를 제한하면 다른 관계자가 해당 제한을 무시할 수 없습니다. 관리자, 사용자 및 웹 사이트 컨트롤은 다음 단원에서 자세히 설명합니다. 제작자(개발자) 설정 은 이 장의 뒷부분에 설명되어 있습니다. 관리자 컨트롤 컴퓨터에 관리자 권한으로 로그인한 관리자의 경우 해당 컴퓨터의 다른 모든 사용자에게 영 향을 주는 Flash Player 보안 설정을 적용할 수 있습니다. 가정용 컴퓨터와 같이 엔터프라이즈 환경이 아닌 컴퓨터에는 보통 한 명의 사용자가 관리자 권한도 가지고 있습니다. 엔터프라이 즈 환경에서도 개별 사용자가 컴퓨터에 대해 관리자 권한을 가질 수 있습니다. 관리자 컨트롤에는 다음 두 가지 유형이 있습니다. mms.cfg 파일 Global Flash Player Trust 디렉토리 710 Flash Player 보안

5 mms.cfg 파일 mms.cfg 파일은 Mac OS X 시스템인 경우 /Library/Application Support/Macromedia/mms.cfg에 있고, Microsoft Windows 시스템인 경우 시스템 디렉토리의 Macromedia Flash Player 폴더에 있습니다(예: 기본 Windows XP 설치인 경우 C:\windows\system32\macromed\flash\mms.cfg). Flash Player를 시작하면 이 파일의 보안 설정을 읽어 기능을 제한하는 데 사용합니다. mms.cfg 파일에는 다음과 같은 작업을 수행하기 위해 관리자가 사용하는 설정이 포함되어 있습니다. 데이터 로드 - 로컬 SWF 파일의 읽기를 제한하고 파일 다운로드 및 업로드를 비활성화하 며 영구 공유 객체에 대한 저장 제한을 설정합니다. 개인 정보 제어 - 마이크 및 카메라 액세스를 비활성화하고, SWF 파일에서 윈도우 없는 내용을 실행하지 않도록 하며, 브라우저 윈도우에 표시된 URL과 일치하지 않는 도메인 의 SWF 파일에서 영구 공유 객체에 액세스하지 못하도록 합니다. Flash Player 업데이트 - Flash Player의 업데이트 버전을 확인하는 간격을 설정하고, Flash Player 업데이트 정보를 확인하고 해당 업데이트 버전을 다운로드할 URL을 지정하며, Flash Player 전체에 대한 자동 업데이트를 비활성화합니다. 이전 파일 지원 - local-trusted 샌드박스에 이전 버전의 SWF 파일을 배치할지 여부를 지정 합니다. 로컬 파일 보안 - 로컬 파일을 local-trusted 샌드박스에 배치할 수 있는지 여부를 지정합니다. 전체 화면 모드 - 전체 화면 모드를 비활성화합니다. SWF 파일은 Capabilities.avHardwareDisable 및 Capabilities.localFileReadDisable 속성을 호출하여 비활성화된 기능에 대한 일부 정 보를 액세스할 수 있습니다. 그러나 mms.cfg 파일의 설정 대부분은 ActionScript에서 쿼리할 수 없습니다. 컴퓨터에 응용 프로그램과 무관한 보안 및 개인 정보 보호 정책을 적용하려면 시스템 관리자 가 mms.cfg 파일을 수정해야 합니다. 응용 프로그램의 설치 관리자에서는 mms.cfg 파일을 사 용할 수 없습니다. 관리자 권한으로 실행되는 설치 관리자는 mms.cfg 파일의 내용을 수정할 수 있지만, Adobe는 이러한 사용을 사용자의 신뢰 위반으로 간주하고 설치 프로그램 작성자 에게 mms.cfg 파일을 수정하지 않도록 권고합니다. Global Flash Player Trust 디렉토리 관리자 및 설치 프로그램은 지정된 로컬 SWF 파일을 신뢰할 수 있는 파일로 등록할 수 있습 니다. 이러한 SWF 파일은 local-trusted 샌드박스에 할당되며, 다른 SWF 파일과 상호 작용하 고 원격이나 로컬의 모든 위치에서 데이터를 로드할 수 있습니다. 파일은 다음 위치에서 mms.cfg 파일과 동일한 디렉토리에 있는 Global Flash Player Trust 디렉토리에 신뢰할 수 있 는 파일로 지정됩니다(위치는 현재 사용자에 따라 다름). 권한 컨트롤 개요 711

6 Windows: system\macromed\flash\flashplayertrust (예: C:\windows\system32\Macromed\Flash\FlashPlayerTrust) Mac: app support/macromedia/flashplayertrust (예: /Library/Application Support/Macromedia/FlashPlayerTrust) Flash Player Trust 디렉토리에는 텍스트 파일을 무제한으로 포함할 수 있으며 각 텍스트 파일 에는 신뢰할 수 있는 경로가 한 줄에 하나씩 나열되어 있습니다. 각 경로는 개별 SWF 파일, HTML 파일 또는 디렉토리일 수 있습니다. 주석 행은 # 심볼로 시작됩니다. 예를 들어, 다음 과 같은 텍스트가 포함된 Flash Player 신뢰 구성 파일은 지정된 디렉토리 및 모든 하위 디렉 토리의 모든 파일에 대해 신뢰 상태를 부여합니다. # Trust files in the following directories: C:\Documents and Settings\All Users\Documents\SampleApp 신뢰 구성 파일에 나열된 경로는 항상 로컬 경로나 SMB 네트워크 경로여야 합니다. 신뢰 구성 파일의 모든 HTTP 경로는 무시되며, 로컬 파일만 신뢰할 수 있습니다. 충돌을 피하려면 각 신뢰 구성 파일에 설치 응용 프로그램에 해당하는 파일 이름을 부여하고.cfg 파일 확장명을 사용합니다. 설치 프로그램을 통해 로컬로 실행되는 SWF 파일을 배포하려는 개발자의 경우, 설치 프로그 램에서 Global Flash Player Trust 디렉토리에 구성 파일을 추가하도록 함으로써, 배포하는 파일 에 전체 권한을 부여할 수 있습니다. 이때, 설치 프로그램은 관리자 권한이 있는 사용자가 실행 해야 합니다. mms.cfg 파일과 달리 Global Flash Player Trust 디렉토리는 신뢰 권한을 부여하 기 위한 목적으로 설치 프로그램에 포함될 수 있습니다. 관리자와 설치 프로그램 모두 Global Flash Player Trust 디렉토리를 사용하여 신뢰할 수 있는 로컬 응용 프로그램을 지정할 수 있습 니다. 또한 개별 사용자를 위한 Flash Player Trust 디렉토리도 있습니다(다음 단원, 사용자 컨트롤 참조). 사용자 컨트롤 Flash Player에서는 권한 설정에 대해 설정 UI, 설정 관리자 및 User Flash Player Trust 디렉토 리의 서로 다른 세 가지의 사용자 수준 메커니즘을 제공합니다. 설정 UI 및 설정 관리자 설정 UI는 특정 도메인의 설정을 구성하는 빠른 대화형 메커니즘입니다. 설정 관리자는 보 다 자세한 인터페이스와 많은 도메인이나 전체 도메인의 권한에 영향을 주는 글로벌 변경 기능을 제공합니다. 또한 SWF 파일에서 새로운 권한을 요청할 때 보안 또는 개인 정보에 대해 런타임 의사 결정이 필요한 경우, 사용자가 일부 Flash Player 설정을 조정할 수 있는 대 화 상자가 표시됩니다. 712 Flash Player 보안

7 설정 관리자 및 설정 UI에서는 다음과 같은 보안 관련 옵션을 제공합니다. 카메라 및 마이크 설정 - 사용자가 컴퓨터에서 카메라 및 마이크에 대한 Flash Player 액세 스를 제어할 수 있습니다. 사용자가 전체 사이트 또는 특정 사이트에 대한 액세스를 허용 하거나 거부할 수 있습니다. 사용자가 전체 사이트나 특정 사이트에 대한 설정을 지정하 지 않은 경우, SWF 파일에서 카메라나 마이크에 액세스하려고 하면, SWF 파일에서 해 당 장치에 액세스하도록 허용할지 여부를 선택할 수 있는 대화 상자가 표시됩니다. 이때, 사용자는 사용할 카메라나 마이크를 지정하고 마이크의 민감도를 설정할 수 있습니다. 공유 객체 저장 설정 - 도메인에서 영구 공유 객체 저장에 사용할 디스크 공간을 선택할 수 있습니다. 사용자는 특정 도메인에 대해 임의의 값을 설정하고 새로운 도메인에 대해 기 본 설정을 지정할 수 있습니다. 기본 디스크 공간 제한 값은 100KB입니다. 영구 공유 객체 에 대한 자세한 내용은 ActionScript 3.0 언어 및 구성 요소 참조 설명서에서 SharedObject 클래스를 참조하십시오. 중요 mms.cfg 파일에 지정된 모든 설정(710페이지의 관리자 컨트롤 참조)은 설정 관리자에 반영 되지 않습니다. 설정 관리자에 대한 자세한 내용은 참조하십시오. User Flash Player Trust 디렉토리 사용자 및 설치 프로그램은 지정된 로컬 SWF 파일을 신뢰할 수 있는 파일로 등록할 수 있습 니다. 이러한 SWF 파일은 local-trusted 샌드박스에 할당되며, 다른 SWF 파일과 상호 작용하 고 원격이나 로컬의 모든 위치에서 데이터를 로드할 수 있습니다. 사용자는 다음 위치에서 Flash 공유 객체 저장 영역과 동일한 디렉토리에 있는 User Flash Player Trust 디렉토리에 신뢰 할 수 있는 파일로 지정합니다(위치는 현재 사용자에 따라 다름). Windows: app data\macromedia\flash Player\#Security\FlashPlayerTrust (예: C:\Documents and Settings\JohnD\Application Data\Macromedia\Flash Player\#Security\FlashPlayerTrust) Mac: app data/macromedia/flash Player/#Security/FlashPlayerTrust (예: /Users/JohnD/Library/Preferences/Macromedia/Flash Player/#Security/ FlashPlayerTrust) 이러한 설정은 현재 사용자에게만 영향을 주며 컴퓨터에 로그인한 다른 사용자에게는 적용 되지 않습니다. 관리자 권한이 없는 사용자가 시스템의 자체 소유 부분에 응용 프로그램을 설치한 경우, 설치 관리자에서 User Flash Player Trust 디렉토리에 이 응용 프로그램을 해당 사용자에 대해 신뢰할 수 있는 것으로 등록할 수 있습니다. 설치 프로그램을 통해 로컬로 실행되는 SWF 파일을 배포하는 개발자의 경우, 설치 프로그 램에서 User Flash Player Trust 디렉토리에 구성 파일을 추가하도록 함으로써 배포하는 파일 에 전체 권한을 부여할 수 있습니다. 이런 경우에도 User Flash Player Trust 디렉토리 파일이 사용자 컨트롤로 간주되며, 이는 사용자 액션(설치)으로 시작되기 때문입니다. 권한 컨트롤 개요 713

8 또한 관리자나 설치 프로그램에서 Global Flash Player Trust 디렉토리를 사용하여 컴퓨터의 모 든 사용자에 대해 응용 프로그램을 등록할 수 있습니다(710페이지의 관리자 컨트롤 참조). 웹 사이트 컨트롤(크로스 도메인 정책 파일) 웹 서버의 데이터를 다른 도메인의 SWF 파일에서 사용할 수 있도록 하기 위해 사용자 서버 에 크로스 도메인 정책 파일을 작성할 수 있습니다. 크로스 도메인 정책 파일은 특정 또는 모 든 도메인에서 제공되는 SWF 파일에서 해당 서버의 데이터나 문서를 사용할 수 있음을 나 타내기 위해 사용되는 XML 파일입니다. 서버의 정책 파일에 지정된 도메인에서 제공되는 SWF 파일은 해당 서버의 데이터나 에셋에 대한 액세스가 허용됩니다. 크로스 도메인 정책 파일은 다음을 포함하여 많은 에셋에 대한 액세스에 영향을 줍니다. 비트맵, 사운드 및 비디오 데이터 XML 및 텍스트 파일 로드 소켓 및 XML 소켓 연결에 대한 액세스 다른 보안 도메인의 SWF 파일을 로드하는 SWF 파일의 보안 도메인으로 가져오기 자세한 사항은 이 장의 뒷부분에 설명되어 있습니다. 정책 파일 구문 다음 예제는 *.example.com, 및 에서 시작되는 SWF 파일에 대한 액세스를 허용하는 정책 파일을 보여 줍니다. <?xml version="1.0"?> <cross-domain-policy> <allow-access-from domain="*.example.com" /> <allow-access-from domain=" /> <allow-access-from domain=" " /> </cross-domain-policy> SWF 파일에서 다른 도메인의 데이터에 액세스하려고 하면 Flash Player는 자동으로 해당 도 메인에서 정책 파일을 로드하려고 시도합니다. 액세스하려는 SWF 파일의 도메인이 정책 파 일에 포함되어 있으면 자동적으로 데이터에 액세스할 수 있게 됩니다. 기본적으로 crossdomain.xml이라는 이름의 정책 파일이 해당 서버의 루트 디렉토리에 상 주해야 합니다. 하지만 SWF 파일에서 Security.loadPolicyFile() 메서드를 호출하여 다 른 이름 또는 다른 디렉토리 위치를 확인할 수 있습니다. 크로스 도메인 정책 파일은 정책 파 일이 로드되어 있는 디렉토리와 해당 하위 디렉토리에만 적용됩니다. 따라서 루트 디렉토리 에 있는 정책 파일은 전체 서버에 적용되지만 임의의 하위 디렉토리에서 로드된 정책 파일은 해당 디렉토리와 하위 디렉토리에만 적용됩니다. 714 Flash Player 보안

9 정책 파일은 해당 파일이 상주하는 특정 서버에 대한 액세스에만 영향을 줍니다. 예를 들어, 있는 정책 파일은 8080 포트에서 HTTPS를 통해 수행된 데이터 로드 호출에만 적용됩니다. 크로스 도메인 정책 파일에는 0개 이상의 <allow-access-from> 태그가 포함된 단일 <cross-domain-policy> 태그가 들어 있습니다. 각 <allow-access-from> 태그에는 domain이라는 속성이 있습니다. 이 속성은 정확한 IP 주소, 정확한 도메인 또는 와일드카드 도메인(임의의 도메인)을 지정합니다. 와일드카드 도메인은 모든 도메인과 IP 주소를 나타내 는 경우 단일 별표(*) 또는 특정 접미어로 끝나는 도메인을 나타내는 경우 접미어가 뒤에 붙은 별표로 표현됩니다. 접미어는 점으로 시작해야 합니다. 그러나, 접미어가 붙은 와일드카드 도 메인은 앞에 오는 점을 제외한 접미어만으로 구성되는 도메인을 나타낼 수 있습니다. 예를 들 어, foo.com은 *.foo.com에 속한 것으로 생각할 수 있습니다. 와일드카드는 IP 도메인 형식에 사용할 수 없습니다. IP 주소를 지정하면 IP 구문(예: 사용하여 해당 IP 주소 에서 로드된 SWF에만 액세스 권한이 부여됩니다. 이 경우 도메인 이름 구문을 사용하여 로 드된 SWF에는 액세스 권한이 부여되지 않습니다. Flash Player는 DSN 이름 확인을 수행하지 않습니다. 다음 예제와 같이 모든 도메인의 문서에 액세스할 수 있도록 허용할 수 있습니다. <?xml version="1.0"?> <! > <cross-domain-policy> <allow-access-from domain="*" /> </cross-domain-policy> 각 <allow-access-from> 태그에는 선택 사항인 secure 속성이 포함될 수 있으며 기본값은 true입니다. 정책 파일이 HTTPS 서버에 있을 경우 HTTPS가 아닌 서버의 SWF 파일이 HTTPS 서버에서 데이터를 로드할 수 있도록 허용하려면 이 속성을 false로 설정합니다. secure 속성을 false로 설정하면 HTTPS에서 제공하는 보안 기능이 약화될 수 있습니다. 특히 이 속성을 false로 설정하면 보안 내용이 열려서 스누핑(snooping) 및 스푸핑(spoofing) 공격에 취약해집니다. 따라서 secure 속성을 false로 설정하지 않아야 합니다. 로드할 데이터가 HTTPS 서버에 있고, 해당 데이터를 로드하는 SWF 파일이 HTTP 서버에 있는 경우에는 로드하는 SWF 파일을 HTTPS 서버로 이동하여 HTTPS의 보호 하에 보안 데 이터의 모든 복사본을 보관하는 것이 좋습니다. 그러나 로드하는 SWF 파일을 HTTP 서버에 두기로 결정한 경우에는 다음 코드에 표시된 대로 secure="false" 속성을 <allowaccess-from> 태그에 추가합니다. <allow-access-from domain=" secure="false" /> 정책 파일에 <allow-access-from> 태그가 없으면 서버에 정책이 없는 것과 동일한 결과가 발생합니다. 권한 컨트롤 개요 715

10 소켓 정책 파일 ActionScript 객체는 문서 기반 서버 연결 및 소켓 연결의 서로 다른 두 종류의 서버 연결을 인 스턴스화합니다. Loader, Sound, URLLoader 및 URLStream과 같은 ActionScript 객체는 문서 기반 연결을 인스턴스화하며 각각은 URL에서 파일을 로드합니다. ActionScript Socket 및 XMLSocket 객체는 소켓 연결을 만들어 로드된 문서가 아니라 스트리밍 데이터로 작업합니 다. Flash Player에서는 문서 기반 정책 파일과 소켓 정책 파일의 두 종류의 정책 파일을 지원 합니다. 문서 기반 연결에는 문서 기반 정책 파일이 필요하고 소켓 연결에는 소켓 정책 파일 이 필요합니다. Flash Player에서는 정책 파일을 전송할 때 연결 시도에서 사용하려는 프로토콜과 동일한 프 로토콜을 사용해야 합니다. 예를 들어, 정책 파일이 HTTP 서버에 있는 경우 다른 도메인의 SWF 파일은 HTTP 서버로 데이터를 로드할 수 있습니다. 하지만 동일한 서버에 소켓 파일 을 제공하지 않으면 다른 도메인의 SWF 파일에서 소켓 수준의 서버에 연결할 수 없게 됩니 다. 소켓 정책 파일을 가져올 때는 연결할 때와 같은 방법을 사용해야 합니다. 소켓 서버에서 제공하는 정책 파일은 액세스가 허용되는 포트를 지정해야 한다는 점을 제외 하고 다른 정책 파일과 동일한 구문을 사용합니다. 1024보다 낮은 포트에서 제공되는 정책 파일에서는 모든 포트에 액세스를 허용할 수 있고, 1024 이상의 포트에서 제공되는 정책 파 일에서는 1024 이상의 포트에만 액세스를 허용할 수 있습니다. 허용되는 포트는 <allowaccess-from> 태그의 to-ports 속성에 지정됩니다. 단일 포트 번호, 포트 범위 및 와일드카 드가 모두 허용되는 값입니다. XMLSocket 정책 파일의 예는 다음과 같습니다. <cross-domain-policy> <allow-access-from domain="*" to-ports="507" /> <allow-access-from domain="*.example.com" to-ports="507,516" /> <allow-access-from domain="*.example2.com" to-ports=" " /> <allow-access-from domain=" to-ports="507, " /> <allow-access-from domain=" to-ports="*" /> </cross-domain-policy> 정책 파일이 처음으로 Flash Player 6에 도입되었을 때는 소켓 정책 파일이 지원되지 않았습 니다. 따라서 소켓 서버에 대한 연결은 소켓 서버와 동일한 호스트의 포트 80에 있는 HTTP 서버의 크로스 도메인 정책 파일의 기본 위치에 있는 정책 파일에 의해 허가되었습니다. Flash Player 9에서는 기존의 서버 연결 방식을 보존하기 위해 이 기능을 지원합니다. 그러나 이제 Flash Player에서는 기본적으로 소켓 연결과 동일한 포트에 있는 소켓 정책 파일을 가져 옵니다. HTTP 기반 정책 파일을 사용하여 소켓 연결을 허가하려면 다음과 같은 코드를 사 용하여 명시적으로 HTTP 정책 파일을 요청해야 합니다. Security.loadPolicyFile(" 716 Flash Player 보안

11 또한 소켓 연결을 허가하려면 HTTP 정책 파일을 다른 HTTP 위치가 아닌 크로스 도메인 정 책 파일의 기본 위치에서 가져와야 합니다. HTTP 서버에서 가져온 정책 파일은 암시적으로 1024 이상의 모든 포트에 대해 소켓 액세스를 허가하며 HTTP 정책 파일의 to-ports 속성 은 무시됩니다. 소켓 정책 파일에 대한 자세한 내용은 735페이지의 소켓 연결 을 참조하십시오. 정책 파일 미리 로드 서버에서 데이터를 로드하고 소켓에 연결하는 것은 비동기식 작업으로, Flash Player에서는 단순히 주요 작업을 시작하기 전에 크로스 도메인 정책 파일이 다운로드되기를 기다립니다. 그러나 이미지에서 픽셀 데이터를 추출하거나 사운드에서 샘플 데이터를 추출하는 것은 동 기식 작업으로, 데이터를 추출하기 전에 크로스 도메인 파일을 먼저 로드해야 합니다. 미디 어를 로드하는 경우에는 다음과 같이 미디어에서 크로스 도메인 정책 파일을 확인하도록 지 정해야 합니다. Loader.load() 메서드를 사용하는 경우에는 LoaderContext 객체인 context 매개 변수 의 checkpolicyfile 속성을 설정합니다. <img> 태그를 사용하여 텍스트 필드에 이미지를 포함하는 경우, <img checkpolicyfile = "true" src = "example.jpg">와 같이 <img> 태그의 checkpolicyfile 속성을 "true"로 설정합니다. Sound.load() 메서드를 사용하는 경우에는 SoundLoaderContext 객체인 context 매개 변수의 checkpolicyfile 속성을 설정합니다. NetStream 클래스를 사용하는 경우, NetStream 객체의 checkpolicyfile 속성을 설정합 니다. 이 매개 변수 중 하나를 설정하는 경우에는 Flash Player에서 먼저 해당 도메인에서 이미 다운 로드한 모든 정책 파일을 확인합니다. 그리고 나서 Security.loadPolicyFile() 메서드에 대한 모든 대기 중인 호출을 검토하여 해당 범위 내에 있는지 확인하고 해당하는 경우 기다 립니다. 그런 다음 서버의 기본 위치에서 크로스 도메인 정책 파일을 찾습니다. 제작자(개발자) 컨트롤 보안 권한을 부여하는 데 사용되는 기본 ActionScript API는 Security.allowDomain() 메서 드이며, 이 메서드를 사용하여 지정한 도메인의 SWF 파일에 권한을 부여합니다. 다음 예제 에서는 SWF 파일이 도메인에서 제공되는 SWF 파일에 대한 액세스 권한 을 부여합니다. Security.allowDomain(" 권한 컨트롤 개요 717

12 이 메서드는 다음과 같은 권한을 부여합니다. SWF 파일 간 크로스 스크립팅(728페이지의 크로스 스크립팅 참조) 표시 목록 액세스(731페이지의 표시 목록 탐색 참조) 이벤트 감지(731페이지의 이벤트 보안 참조) Stage 객체의 속성 및 메서드에 대한 전체 액세스(730페이지의 스테이지 보안 참조) Security.allowDomain() 메서드를 호출하는 주요 목적은 도메인 외부에 있는 SWF 파일 에 Security.allowDomain() 메서드를 호출하는 SWF 파일을 스크립팅할 수 있는 권한을 부여하는 것입니다. 자세한 내용은 728페이지의 크로스 스크립팅 을 참조하십시오. Security.allowDomain() 메서드에 매개 변수로 IP 주소를 지정하더라도 지정된 IP 주소에 있는 모든 항목에 액세스가 허용되는 것은 아닙니다. 이때 해당 IP 주소에 매핑되는 도메인 이름이 아닌 URL에 지정한 IP 주소가 들어 있는 항목에만 액세스가 허용됩니다. 예를 들어, 도메인 이름 IP 주소 으로 매핑되는 경우 Security.allowDomain(" ")을 호출해도 액세스가 허용 되지 않습니다. "*" 와일드카드를 Security.allowDomain() 메서드로 전달하여 모든 도메인에서의 액세 스를 허용할 수 있습니다. 이렇게 하면 모든 도메인의 SWF 파일에 권한이 부여되어 호출하 는 SWF 파일을 스크립팅하므로 "*" 와일드카드는 주의해서 사용해야 합니다. ActionScript에는 Security.allowInsecureDomain()이라는 두 번째 권한 부여 API가 포함 되어 있습니다. 이 메서드는 Security.allowDomain() 메서드와 동일한 작용을 하지만, 보 안 HTTPS 연결에 의해 제공되는 SWF 파일에서 이 메서드를 호출하는 경우에 HTTP와 같 이 비보안 프로토콜에서 제공되는 다른 SWF 파일에 대해서도 호출하는 SWF 파일에 대한 액세스를 추가로 허용한다는 것이 다릅니다. 그러나 보안 프로토콜(HTTPS)의 파일과 비보 안 프로토콜(HTTP 등)의 파일 간에 스크립팅을 허용하는 것은 보안상 안전하지 않습니다. 이렇게 하면 보안 내용이 열려 스누핑 및 스푸핑 공격에 취약해집니다. 이러한 공격의 작동 방식은 다음과 같습니다. Security.allowInsecureDomain() 메서드는 HTTP 연결을 통해 제공되는 SWF 파일에 대해 보안 HTTPS 데이터에 대한 액세스를 허용하므로 공격자가 HTTP 서버와 사용자 간에 끼어 들어 HTTP SWF 파일을 자신의 파일로 교체함으로써 HTTPS 데이터에 액세스할 수 있게 됩니다. 또 다른 중요한 보안 관련 메서드에는 Security.loadPolicyFile() 메서드가 있으며, 이를 통해 Flash Player는 비표준 위치에서 크로스 도메인 정책 파일을 확인합니다. 자세한 내용은 714페이지의 웹 사이트 컨트롤(크로스 도메인 정책 파일) 을 참조하십시오. 718 Flash Player 보안

13 보안 샌드박스 클라이언트 컴퓨터는 외부 웹 사이트나 로컬 파일 시스템 등의 여러 소스에서 개별 SWF 파 일을 얻습니다. Flash Player는 SWF 파일과 공유 객체, 비트맵, 사운드, 비디오 및 데이터 파일 등의 기타 리소스를, 이들이 Flash Player로 로드될 때의 원래 위치를 기준으로 하여 개별적으 로 보안 샌드박스에 할당합니다. 다음 단원에서는 지정된 샌드박스에서 SWF 파일이 액세스 할 수 있는 항목을 제어하는 Flash Player의 규칙에 대해 설명합니다. 보안 샌드박스에 대한 자세한 내용은 Flash Player 9 보안 백서를 참조하십시오. 원격 샌드박스 Flash Player는 인터넷의 SWF 파일을 포함하여 에셋을 해당 웹 사이트의 원래 도메인에 해당 하는 별도의 샌드박스에 분류합니다. 기본적으로 이러한 파일은 해당 서버의 모든 리소스에 대한 액세스가 허용됩니다. 원격 SWF 파일은 크로스 도메인 정책 파일 및 Security.allowDomain() 메서드와 같은 명시적인 웹 사이트 및 제작자 권한을 사용하여 다 른 도메인의 데이터에 추가로 액세스할 수 있습니다. 자세한 내용은 714페이지의 웹 사이트 컨트롤(크로스 도메인 정책 파일) 및 717페이지의 제작자(개발자) 컨트롤 을 참조하십시오. 원격 SWF 파일에서는 로컬 파일이나 리소스를 로드할 수 없습니다. 자세한 내용은 Flash Player 9 보안 백서를 참조하십시오. 로컬 샌드박스 로컬 파일은 file: 프로토콜이나 UNC(Universal Naming Convention) 경로를 사용하여 참 조되는 모든 파일을 의미합니다. 로컬 SWF 파일은 다음 세 로컬 샌드박스 중 하나에 배치됩 니다. local-with-filesystem 샌드박스 - 보안을 위해 Flash Player는 기본적으로 모든 로컬 SWF 파 일 및 에셋을 local-with-file-system 샌드박스에 배치합니다. 이 샌드박스에서 SWF 파일은 URLLoader 클래스 등을 사용하여 로컬 파일을 읽을 수 있지만, 네트워크와는 어떤 방식 으로도 통신할 수 없습니다. 따라서 사용자는 로컬 데이터가 네트워크로 누출되거나 다 른 방식으로 부적절하게 공유되지 않는다는 확신을 가질 수 있습니다. 보안 샌드박스 719

14 local-with-networking 샌드박스 - SWF 파일을 컴파일할 때, 로컬 파일로 실행되지만 네트 워크 액세스가 가능하도록 지정할 수 있습니다(720페이지의 로컬 SWF 파일의 샌드박 스 유형 설정 참조). 이러한 파일은 local-with-networking 샌드박스에 배치됩니다. localwith-networking 샌드박스에 할당된 SWF 파일에서는 해당 로컬 파일에 액세스할 수 없 습니다. 대신, SWF 파일은 네트워크의 데이터에 액세스할 수 있습니다. 하지만 크로스 도메인 정책 파일이나 Security.allowDomain() 메서드에 대한 호출을 통해 권한이 부 여되지 않는 한 local-with-networking SWF 파일은 여전히 네트워크의 데이터를 읽을 수 없습니다. 이러한 권한을 부여하려면 크로스 도메인 정책 파일에서 <allow-accessfrom domain="*"/> 또는 Security.allowDomain("*")을 사용하여 모든 도메인에 권 한을 부여해야 합니다. 자세한 내용은 714페이지의 웹 사이트 컨트롤(크로스 도메인 정 책 파일) 및 717페이지의 제작자(개발자) 컨트롤 을 참조하십시오. local-trusted 샌드박스 - 사용자나 설치 프로그램에 의해 신뢰할 수 있는 파일로 등록된 로 컬 SWF 파일은 local-trusted 샌드박스에 배치됩니다. 시스템 관리자와 사용자는 보안 고 려 사항에 따라 local-trusted 샌드박스에 또는 해당 샌드박스로부터 로컬 SWF 파일을 재 할당하거나 이동할 수도 있습니다(710페이지의 관리자 컨트롤 및 712페이지의 사용 자 컨트롤 참조). local-trusted 샌드박스에 할당된 SWF 파일은 다른 SWF 파일과 상호 작 용하고 원격이나 로컬의 모든 위치에서 데이터를 로드할 수 있습니다. local-with-networking과 local-with-filesystem 샌드박스 간의 통신은 물론 local-with-filesystem 과 원격 샌드박스 간의 통신이 엄격하게 금지됩니다. Flash 응용 프로그램이나 사용자 또는 관리자는 이러한 통신을 허용하는 권한을 부여할 수 없습니다. 어느 방향으로든 로컬 HTML 파일과 로컬 SWF 파일 간에 스크립팅하려면(예: ExternalInterface 클래스 사용) 관련 HTML 파일과 로컬 SWF 파일이 모두 local-trusted 샌드박스에 있어야 합 니다. 이것은 브라우저의 로컬 보안 모델이 Flash Player 로컬 보안 모델과 다르기 때문입니다. local-with-networking 샌드박스의 SWF 파일은 local-with-filesystem 샌드박스의 SWF 파일을 로드할 수 없습니다. local-with-filesystem 샌드박스의 SWF 파일은 local-with-networking 샌드 박스의 SWF 파일을 로드할 수 없습니다. 로컬 SWF 파일의 샌드박스 유형 설정 Adobe Flash CS3 Professional 제작 도구에서 문서의 제작 설정을 설정함으로써 local-withfilesystem 샌드박스 또는 local-with-networking 샌드박스에 대해 SWF 파일을 구성할 수 있습 니다. 자세한 내용은 Flash 사용 설명서에서 Flash SWF 파일 포맷에 대한 제작 옵션 설정 을 참조하십시오. 컴퓨터의 최종 사용자나 관리자는 로컬 SWF 파일을 신뢰할 수 있는 파일로 지정하여 해당 파일에서 로컬과 네트워크의 모든 도메인에 있는 데이터를 로드하도록 할 수 있습니다. 이것 은 Global Flash Player Trust 및 User Flash Player Trust 디렉토리에 지정됩니다. 자세한 내용은 710페이지의 관리자 컨트롤 및 712페이지의 사용자 컨트롤 을 참조하십시오. 로컬 샌드박스에 대한 자세한 내용은 719페이지의 로컬 샌드박스 를 참조하십시오. 720 Flash Player 보안

15 Security.sandboxType 속성 SWF 파일의 제작자는 읽기 전용의 정적 Security.sandboxType 속성을 사용하여 SWF 파 일에 할당된 샌드박스의 유형을 확인할 수 있습니다. Security 클래스에는 다음과 같이 Security.sandboxType 속성의 가능한 값을 나타내는 상수가 포함되어 있습니다. Security.REMOTE - 인터넷 URL에서 가져온 SWF 파일이며 도메인 기반 샌드박스 규칙 에 따라 작동합니다. Security.LOCAL_WITH_FILE - 로컬 SWF 파일이지만 사용자가 신뢰하지 않았고 네트워 킹이 지정되지 않았습니다. 이 SWF 파일은 로컬 데이터 소스에서 읽을 수 있지만 인터넷 과 통신할 수 없습니다. Security.LOCAL_WITH_NETWORK - 로컬 SWF 파일이고 사용자가 신뢰하지 않았지만 네 트워킹이 지정되었습니다. 이 SWF 파일은 인터넷과 통신할 수 있지만 로컬 데이터 소스 에서 읽을 수는 없습니다. Security.LOCAL_TRUSTED - 로컬 SWF 파일이고 설정 관리자나 Flash Player 신뢰 구성 파일을 사용하여 사용자가 신뢰한 파일입니다. 이 SWF 파일은 로컬 데이터 소스에서 읽 을 수 있고 인터넷과 통신할 수 있습니다. 네트워킹 API 제한 SWF 내용을 포함하는 HTML 페이지의 <object> 및 <embed> 태그에서 allownetworking 매개 변수를 설정하여 네트워크 기능에 대한 SWF 파일의 액세스를 제어할 수 있습니다. allownetworking의 가능한 값은 다음과 같습니다. "all"(기본값) - SWF에서 모든 네트워크 API가 허용됩니다. "internal" - SWF 파일에서 이 단원의 뒷부분에 나열되어 있는 브라우저 내비게이션이 나 브라우저 상호 작용 API를 호출할 수 없지만 다른 네트워킹 API를 호출할 수 있습니다. "none" - SWF 파일에서 이 단원의 뒷부분에 나열되어 있는 브라우저 내비게이션이나 브 라우저 상호 작용 API를 호출할 수 없고 마찬가지로 뒷부분에 나열되어 있는 모든 SWF 간 통신 API를 사용할 수 없습니다. 금지된 API를 호출하면 SecurityError 예외가 발생합니다. 네트워킹 API 제한 721

16 SWF 파일에 대한 참조를 포함하는 HTML 페이지의 <object> 및 <embed> 태그에서 allownetworking 매개 변수를 설정하려면 다음 예제와 같이 allownetworking 매개 변수 를 추가하고 그 값을 설정합니다. <object classid="clsid:d27cdb6e-ae6d-11cf-96b " codebase=" swflash.cab#version=9,0,18,0" width="600" height="400" id="test" align="middle"> <param name="allownetworking" value="none" /> <param name="movie" value="test.swf" /> <param name="bgcolor" value="#333333" /> <embed src="test.swf" allownetworking="none" bgcolor="#333333" width="600" height="400" name="test" align="middle" type="application/x-shockwave-flash" pluginspage=" /> </object> 또한 HTML 페이지는 스크립트를 사용하여 SWF를 포함하는 태그를 생성할 수 있습니다. 해당 스크립트를 변경하여 올바른 allownetworking 설정을 삽입해야 합니다. Flash 및 Adobe Flex Builder에서 생성된 HTML 페이지는 AC_FL_RunContent() 함수를 사용하여 SWF 파일에 대한 참조를 포함하므로, 사용자는 다음과 같이 스크립트에 allownetworking 매개 변수 설정을 추가해야 합니다. AC_FL_RunContent(... "allownetworking", "none",...) 다음 API는 allownetworking이 "internal"로 설정된 경우에는 사용할 수 없습니다. navigatetourl() fscommand() ExternalInterface.call() 이전 목록의 API뿐 아니라 allownetworking이 "none"으로 설정된 경우 다음 API도 사용할 수 없습니다. sendtourl() FileReference.download() FileReference.upload() Loader.load() LocalConnection.connect() LocalConnection.send() NetConnection.connect() NetStream.play() Security.loadPolicyFile() SharedObject.getLocal() SharedObject.getRemote() 722 Flash Player 보안

17 Socket.connect() Sound.load() URLLoader.load() URLStream.load() XMLSocket.connect() 선택한 allownetworking 설정이 SWF 파일에서 네트워킹 API를 사용할 수 있도록 허용하는 경우에도 이 장에 설명된 대로 보안 샌드박스 제한을 기반으로 다른 제한 사항이 존재합니다. allownetworking이 "none"으로 설정된 경우에는 TextField 객체의 htmltext 속성에 있는 <img> 태그에서 외부 미디어를 참조할 수 없습니다(SecurityError 예외 발생). allownetworking이 "none"으로 설정된 경우, 가져와서 Flash 제작 도구(ActionScript가 아 님)에 추가한 공유 라이브러리의 심볼이 런타임 시 차단됩니다. 전체 화면 모드 보안 Flash Player 이상 버전에서는 Flash 내용으로 전체 화면을 채울 수 있는 전체 화면 모 드를 지원합니다. 전체 화면 모드를 사용하려면 Stage의 displaystate 속성을 StageDisplayState.FULL_SCREEN 상수로 설정합니다. 자세한 내용은 367페이지의 전체 화면 모드 작업 을 참조하십시오. 브라우저에서 실행 중인 SWF 파일에는 몇 가지의 보안 고려 사항이 있습니다. 전체 화면 모드를 사용하려면 다음 예제에 표시된 대로 SWF 파일에 대한 참조를 포함하는 HTML 페이지의 <object> 및 <embed> 태그에 값이 "true"(기본값은 "false")로 설정된 allowfullscreen 매개 변수를 추가합니다. <object classid="clsid:d27cdb6e-ae6d-11cf-96b " codebase=" swflash.cab#version=9,0,18,0" width="600" height="400" id="test" align="middle"> <param name="allowfullscreen" value="true" /> <param name="movie" value="test.swf" /> <param name="bgcolor" value="#333333" /> <embed src="test.swf" allowfullscreen="true" bgcolor="#333333" width="600" height="400" name="test" align="middle" type="application/x-shockwave-flash" pluginspage=" /> </object> 전체 화면 모드 보안 723

18 또한 HTML 페이지는 스크립트를 사용하여 SWF를 포함하는 태그를 생성할 수 있습니다. 해당 스크립트를 변경하여 올바른 allowfullscreen 설정을 삽입해야 합니다. Flash 및 Flex Builder에서 생성된 HTML 페이지는 AC_FL_RunContent() 함수를 사용하여 SWF 파일에 대한 참조를 포함하므로, 사용자는 다음과 같이 allowfullscreen 매개 변수 설정을 추가해 야 합니다. AC_FL_RunContent(... "allowfullscreen", "true",...) 전체 화면 모드를 시작하는 ActionScript는 마우스 이벤트나 키보드 이벤트에 대한 응답으로 만 호출할 수 있습니다. 기타의 경우에 호출되면 예외가 발생합니다. 전체 화면 모드에서는 텍스트 입력 필드에 텍스트를 입력할 수 없습니다. 전체 화면 모드에 서는 모든 키보드 입력 및 키보드 관련 ActionScript가 비활성화됩니다. 이때 응용 프로그램 을 일반 모드로 되돌리는 Esc 키 등의 키보드 단축키는 예외입니다. 내용이 전체 화면 모드로 변경되면 사용자에게 종료 방법과 일반 모드로 돌아가는 방법을 알 리는 메시지가 나타납니다. 이 메시지는 몇 초 동안 표시된 후 사라집니다. Stage 객체의 displaystate 속성을 호출하면 Stage 소유자(기본 SWF 파일)와 다른 보안 샌 드박스에 있는 호출자에 대해서는 예외가 발생합니다. 자세한 내용은 730페이지의 스테이 지 보안 을 참조하십시오. 관리자는 mms.cfg 파일에서 FullScreenDisable = 1을 설정하여 브라우저에 실행 중인 SWF 파일에 대한 전체 화면 모드를 비활성화할 수 있습니다. 자세한 내용은 710페이지의 관리자 컨트롤 을 참조하십시오. 브라우저에서 전체 화면 모드를 사용하려면 HTML 페이지에 SWF 파일이 포함되어 있어야 합니다. 독립 실행형 플레이어나 프로젝터 파일에서는 전체 화면 모드가 항상 허용됩니다. 내용 로드 SWF 파일은 다음 유형의 내용을 로드할 수 있습니다. SWF 파일 이미지 사운드 비디오 724 Flash Player 보안

19 SWF 파일 및 이미지 로드 Loader 클래스를 사용하여 SWF 파일 및 이미지(JPG, GIF, 또는 PNG 파일)를 로드할 수 있습 니다. local-with-filesystem 샌드박스에 있는 SWF 파일을 제외한 모든 SWF 파일에서는 모든 네트워크 도메인에 있는 SWF 파일과 이미지를 로드할 수 있습니다. 로컬 샌드박스의 SWF 파일만 로컬 파일 시스템의 SWF 파일과 이미지를 로드할 수 있습니다. 하지만 local-withnetworking 샌드박스에 있는 파일은 local-trusted 또는 local-with-networking 샌드박스에 있는 로컬 SWF 파일만 로드할 수 있습니다. local-with-networking 샌드박스에 있는 SWF 파일은 이미지와 같이 SWF 파일이 아닌 로컬 내용을 로드할 수 있지만 로드된 내용의 데이터에는 액세스할 수 없습니다. 신뢰할 수 없는 소스(예: Loader 객체의 루트 SWF 파일에 대한 도메인이 아닌 도메인)에서 SWF 파일을 로드하는 경우, 다음 코드와 같이 Loader 객체의 마스크를 정의하여 해당 마스 크의 바깥쪽 Stage 부분에 로드된 내용(Loader 객체의 자식)을 그릴 수 없도록 할 수 있습니다. import flash.display.*; import flash.net.urlrequest; var rect:shape = new Shape(); rect.graphics.beginfill(0xffffff); rect.graphics.drawrect(0, 0, 100, 100); addchild(rect); var ldr:loader = new Loader(); ldr.mask = rect; var url:string = " var urlreq:urlrequest = new URLRequest(url); ldr.load(urlreq); addchild(ldr); Loader 객체의 load() 메서드를 호출하는 경우에는 LoaderContext 객체인 context 매개 변수 를 지정할 수 있습니다. LoaderContext 클래스에는 로드된 내용을 사용하는 방법에 대한 컨텍 스트를 정의할 수 있는 세 가지 속성이 포함되어 있습니다. checkpolicyfile: 이 속성은 SWF 파일이 아닌 이미지 파일을 로드할 때만 사용합니다. Loader 객체를 포함하는 파일의 도메인을 제외한 도메인의 이미지 파일에 대해 이 속성 을 정의합니다. 이 속성을 true로 설정하면 Loader는 원래 서버에서 크로스 도메인 정책 파일을 확인합니다(714페이지의 웹 사이트 컨트롤(크로스 도메인 정책 파일) 참조). 서 버에서 Loader 도메인에 대한 권한을 부여하면 Loader 도메인에 있는 SWF 파일의 ActionScript에서 로드된 이미지의 데이터에 액세스할 수 있습니다. 즉, Loader.content 속성을 사용하여 로드된 이미지를 나타내는 Bitmap 객체 또는 로드된 이미지의 픽셀에 액세스하는 BitmapData.draw() 메서드에 대한 참조를 얻을 수 있습니다. 내용 로드 725

20 securitydomain: 이 속성은 이미지가 아닌 SWF 파일을 로드할 때만 사용합니다. Loader 객체를 포함하는 파일의 도메인과 다른 도메인에서의 SWF 파일에 대해 이 속성 을 지정합니다. securitydomain 속성의 경우 현재 null(기본값) 및 SecurityDomain.currentDomain의 두 값만 지원됩니다. SecurityDomain.currentDomain을 지정하면 로드된 SWF 파일이 로드하는 SWF 파일 의 샌드박스로 가져와져서 로드하는 SWF 파일의 자체 서버에서 로드된 것처럼 작동합 니다. 이것은 로드된 SWF 파일 서버에 크로스 도메인 정책 파일이 있는 경우, 로드하는 SWF 파일의 도메인에서 액세스할 때만 허용됩니다. 필요한 정책 파일이 있는 경우에는 로드가 시작될 때 로더와 로드되는 파일에서 자유롭게 서로 스크립팅할 수 있는데, 이는 이 두 항목이 동일한 샌드박스에 있기 때문입니다. 대부분의 샌드박스 가져오기 작업은 일반적인 로드를 수행한 다음 로드된 SWF 파일에서 Security.allowDomain() 메서드 를 호출하는 작업으로 바꿀 수 있습니다. 로드된 SWF 파일이 자체의 고유 샌드박스에 있 게 되어 SWF 파일의 실제 서버에 있는 리소스에 액세스할 수 있기 때문에 두 번째 방법 이 더욱 사용하기 쉽습니다. applicationdomain: 이 속성은 ActionScript 3.0으로 작성된 SWF 파일을 로드할 때만 사용합니다. 이미지 파일이나 ActionScript 1.0 또는 2.0으로 작성된 SWF 파일은 해당하 지 않습니다. 파일을 로드할 때 사용자는 해당 파일을 로드하는 SWF 파일 응용 프로그램 도메인의 자식인 새 응용 프로그램 도메인(기본 위치)이 아닌 특정 응용 프로그램 도메인 에 배치되도록 지정할 수 있습니다. 이때, 응용 프로그램 도메인은 보안 도메인의 하위 개념이며, 따라서 이는 로드하는 SWF 파일을 자체 서버에서 가져왔거나, 또는 securitydomain 속성을 사용하여 자체 보안 도메인으로 성공적으로 가져온 경우 즉, 로드하는 SWF 파일이 자체 보안 도메인에 있는 경우에만 대상 응용 프로그램 도메인을 지정할 수 있습니다. 응용 프로그램 도메인을 지정했으나 로드된 SWF 파일이 다른 보안 도메인에 속한 경우에는 applicationdomain에 지정된 도메인은 무시됩니다. 자세한 내용은 656페이지의 ApplicationDomain 클래스 사용 을 참조하십시오. 자세한 내용은 396페이지의 로드 컨텍스트 지정 을 참조하십시오. Loader 객체의 중요한 속성은 LoaderInfo 객체인 contentloaderinfo 속성입니다. 다른 대부 분의 객체와 달리 LoaderInfo 객체는 로드하는 SWF 파일과 로드된 내용 간에 공유되며 항상 양쪽에서 모두 액세스할 수 있습니다. 로드된 내용이 SWF 파일인 경우 DisplayObject.loaderInfo 속성을 통해 LoaderInfo 객체에 액세스할 수 있습니다. LoaderInfo 객체에는 로드 진행률, 로더 및 로드된 내용의 URL, 로더와 로드된 내용 간의 신 뢰 관계 및 기타 정보가 포함됩니다. 자세한 내용은 395페이지의 로드 진행률 모니터링 을 참조하십시오. 726 Flash Player 보안

21 사운드 및 비디오 로드 local-with-filesystem에 있는 SWF 파일을 제외한 모든 SWF 파일은 Sound.load(), NetConnection.connect() 및 NetStream.play() 메서드를 사용하여 네트워크에서 사운 드와 비디오를 로드할 수 있습니다. 로컬 SWF 파일만 로컬 파일 시스템에서 미디어를 로드할 수 있습니다. local-with-filesystem 샌드박스 또는 local-trusted 샌드박스에 있는 SWF 파일만 이러한 로드된 파일의 데이터에 액세스할 수 있습니다. 로드된 미디어의 데이터에 액세스하는 데는 몇 가지 제한 사항이 있습니다. 자세한 내용은 732페이지의 데이터로 로드된 미디어 액세스 를 참조하십시오. 텍스트 필드에서 <img> 태그를 사용하여 SWF 파일 및 이미지 로드 다음 코드와 같이 <img> 태그를 사용하여 텍스트 필드로 SWF 파일과 비트맵을 로드할 수 있습니다. <img src = 'filename.jpg' id = 'instancename' > 다음 코드와 같이 TextField 인스턴스의 getimagereference() 메서드를 사용하여 위와 같은 방식으로 로드된 내용에 액세스할 수 있습니다. var loadedobject:displayobject = mytextfield.getimagereference('instancename'); 하지만 이렇게 로드된 SWF 파일과 이미지는 원래 위치에 있는 샌드박스에 배치됩니다. 텍스트 필드에서 <img> 태그를 사용하여 이미지를 로드할 때, 이미지의 데이터에 대한 액세 스는 크로스 도메인 정책 파일에서 허용됩니다. 다음 코드와 같이 <img> 태그에 checkpolicyfile 속성을 추가하여 정책 파일을 확인할 수 있습니다. <img src = 'filename.jpg' checkpolicyfile = 'true' id = 'instancename' > 텍스트 필드에서 <img> 태그를 사용하여 SWF를 로드할 때 Security.allowDomain() 메서 드를 호출하여 SWF 파일의 데이터에 대한 액세스를 허용할 수 있습니다. 텍스트 필드의 <img> 태그를 사용하여 외부 파일을 로드하는 경우(SWF 파일에 포함된 Bitmap 클래스를 사용하는 경우와는 반대), Loader 객체가 자동으로 TextField 객체의 자식으 로 생성되고 ActionScript의 Loader 객체를 사용하여 파일을 로드한 것과 마찬가지로 외부 파 일이 해당 Loader에 로드됩니다. 이 경우 getimagereference() 메서드에서 자동으로 생성 된 Loader를 반환합니다. 호출하는 코드와 동일한 보안 샌드박스에 있기 때문에 이 Loader 객 체에 액세스할 때는 별도의 보안 확인이 필요하지 않습니다. 내용 로드 727

22 하지만 Loader 객체의 content 속성을 참조하여 로드된 미디어에 액세스하는 경우에는 보안 규칙이 적용됩니다. 내용이 이미지일 경우에는 크로스 도메인 정책 파일을 구현해야 하고, 내 용이 SWF 파일인 경우에는 SWF 파일에 allowdomain() 메서드를 호출하는 코드가 있어야 합니다. RTMP 서버를 사용하여 제공된 내용 Flash Media Server는 RTMP(Real-Time Media Protocol)를 사용하여 데이터, 오디오 및 비디오 를 제공합니다. SWF 파일은 RTMP URL을 매개 변수로 전달하고 NetConnection 클래스의 connect() 메서드를 사용하여 이 미디어를 로드합니다. Flash Media Server는 요청하는 파일 의 도메인을 기준으로 연결을 제한하고 내용 다운로드를 금지할 수 있습니다. 자세한 내용은 Flash Media Server 설명서를 참조하십시오. RTMP 소스에서 로드된 미디어의 경우, 런타임 그래픽과 사운드 데이터를 추출하기 위해 BitmapData.draw() 및 SoundMixer.computeSpectrum() 메서드를 사용할 수 없습니다. 크로스 스크립팅 동일한 도메인에서 ActionScript 3.0으로 작성된 두 개의 SWF 파일을 제공하는 경우에는 (예: 한 SWF 파일의 URL은 다른 SWF 파일의 URL은 경우) 각 SWF 파일에서 다른 SWF 파일의 변수, 객체, 속 성, 메서드 및 기타 항목을 검사 및 수정할 수 있습니다. 이를 크로스 스크립팅이라고 합니다. 크로스 스크립팅은 AVM1 SWF 파일과 AVM2 SWF 파일 간에는 지원되지 않습니다. AVM1 SWF 파일은 ActionScript 1.0 또는 ActionScript 2.0을 사용하여 작성됩니다. (AVM1 및 AVM2 는 ActionScript Virtual Machine을 나타냅니다.) 하지만 LocalConnection 클래스를 사용하여 AVM1과 AVM2 간에 데이터를 보낼 수 있습니다. ActionScript 3.0으로 작성된 두 SWF 파일이 siteb.swf 같이 서로 다른 도메인에서 제공되는 경우에는 기본적으로 swfa.swf에서 swfb.swf 를, swfb.swf에서 swfa.swf를 스크립팅할 수 없습니다. SWF 파일에서는 Security.allowDomain()을 호출하여 다른 도메인의 SWF 파일에 스크립팅 권한을 부여합 니다. Security.allowDomain("siteA.com")을 호출하여 swfb.swf는 sitea.com의 SWF 파 일에 스크립팅 권한을 부여합니다. 728 Flash Player 보안

23 크로스 도메인 상황에서는 관련되는 두 도메인을 명확하게 구별하는 것이 중요합니다. 이 설명서에서는 크로스 스크립팅을 수행하는 쪽을 액세스하는 항목(일반적으로 액세스하 는 SWF)이라고 하고, 다른 한 쪽을 액세스되는 항목(일반적으로 액세스되는 SWF)이라고 합 니다. 다음 그림에 표시된 대로 sitea.swf에서 siteb.swf를 스크립팅할 때 sitea.swf는 액세스하 는 항목이고 siteb.swf는 액세스되는 항목입니다. SWF sitea.com / swfa.swf var url:string = " var req:urlrequest = new URLRequest(url); myloader.load(req); myloader.content.eggcount = 3; myloader.content.displayeggs(); Security.allowDomain("siteA.com"); var eggcount:number; function DisplayEggs() {... }; siteb.com / swfb.swf SWF Security.allowDomain() 메서드로 설정된 크로스 도메인 권한은 비대칭적입니다. 앞의 예제에서 sitea.swf는 siteb.swf를 스크립팅할 수 있지만 siteb.swf는 sitea.swf를 스크립팅 할 수 없습니다. 이는 sitea.swf에서 Security.allowDomain() 메서드를 호출하여 siteb.com 에 있는 SWF 파일에 스크립팅 권한을 부여하지 않았기 때문입니다. 양쪽 SWF 파일이 Security.allowDomain() 메서드를 호출하도록 하여 대칭적 권한을 설정할 수 있습니다. Flash Player에서 SWF 파일은 다른 SWF 파일의 크로스 도메인 스크립팅으로부터 보호될 뿐 아니라 HTML 파일의 크로스 도메인 스크립팅으로부터도 보호됩니다. HTML에서 SWF로의 스크립팅은 ExternalInterface.addCallback() 메서드를 통해 설정된 콜백에서 발생할 수 있습니다. HTML에서 SWF로의 스크립팅이 다른 도메인 간에 발생하는 경우 액세스하는 항목이 SWF 파일일 때와 마찬가지로 액세스되는 SWF 파일에서 Security.allowDomain() 메서드를 호출해야 하며, 그렇지 않으면 작업이 실패합니다. 자세한 내용은 717페이지의 제 작자(개발자) 컨트롤 을 참조하십시오. 또한 Flash Player는 SWF에서 HTML로의 스크립팅에 대해 보안 컨트롤을 제공합니다. 자세한 내용은 739페이지의 호스트 웹 페이지에서 스크립트에 대한 액세스 제어 를 참조하십시오. 크로스 스크립팅 729

24 스테이지 보안 Stage 객체의 일부 속성 및 메서드를 표시 목록에 있는 모든 sprite 또는 무비 클립에서 사용할 수 있습니다. 그러나 Stage 객체는 첫 번째 SWF 파일이 로드된 경우에 소유자가 있는 것으로 간주됩니다. 기본적으로 다음과 같은 Stage 객체의 속성 및 메서드는 Stage 소유자와 동일한 보안 샌드박 스에 있는 SWF 파일에만 사용할 수 있습니다. 속성 메서드 align showdefaultcontextmenu addchild() displaystate stagefocusrect addchildat() framerate stageheight addeventlistener() height stagewidth dispatchevent() mousechildren tabchildren haseventlistener() numchildren textsnapshot setchildindex() quality width willtrigger() scalemode Stage 소유자의 샌드박스가 아닌 샌드박스에 있는 SWF 파일에서 위의 속성과 메서드에 액세스 하려면 Stage 소유자 SWF 파일에서 Security.allowDomain() 메서드를 호출하여 외부 샌 드박스의 도메인을 허용해야 합니다. 자세한 내용은 717페이지의 제작자(개발자) 컨트롤 을 참조하십시오. framerate 속성은 특별한 경우로 모든 SWF 파일에서 framerate 속성을 읽을 수 있습니다. 그러나 Stage 소유자의 보안 샌드박스에 있거나 Security.allowDomain() 메서드를 호출하 여 권한을 부여한 SWF 파일에서만 이 속성을 변경할 수 있습니다. Stage 객체의 removechildat() 및 swapchildrenat() 메서드에도 제한 사항이 있지만 다른 제한 사항과는 다릅니다. 이 메서드를 호출하려면 코드가 Stage 소유자와 동일한 도메인이 아니라 영향 받는 자식 객체 또는 Security.allowDomain() 메서드를 호출할 수 있는 자식 객체의 소유자와 동일한 도메인에 있어야 합니다. 730 Flash Player 보안

25 표시 목록 탐색 다른 샌드박스에서 로드된 표시 객체에 액세스하는 SWF 파일의 기능은 제한적입니다. SWF 파일에서 다른 샌드박스에 있는 다른 SWF 파일에서 생성된 표시 객체에 액세스하려면 액세 스되는 SWF 파일에서 Security.allowDomain() 메서드를 호출하여 액세스하는 SWF 파일 의 도메인에 액세스를 허용해야 합니다. 자세한 내용은 717페이지의 제작자(개발자) 컨트 롤 을 참조하십시오. Loader 객체에서 로드한 Bitmap 객체에 액세스하려면 해당 이미지 파일의 원래 서버에 크로 스 도메인 정책 파일이 있어야 하고 해당 크로스 도메인 정책 파일에서 Bitmap 객체에 액세 스를 시도하는 SWF 파일의 도메인에 액세스 권한을 부여해야 합니다(714페이지의 웹 사이 트 컨트롤(크로스 도메인 정책 파일) 참조). 로드된 파일 및 Loader 객체에 해당하는 LoaderInfo 객체에는 로드된 객체와 Loader 객체 간 의 관계를 정의하는 childallowsparent, parentallowschild 및 samedomain의 세 가지 속 성이 있습니다. 이벤트 보안 표시 목록과 연관된 이벤트에는 해당 이벤트를 전달하는 표시 객체의 샌드박스를 기준으로 보안 액세스 제한이 적용됩니다. 표시 목록의 이벤트에는 버블링과 캡처 단계가 있습니다 (295페이지의 제10장, 이벤트 처리 참조). 버블링 및 캡처 단계에서 이벤트는 소스 표시 객 체에서 표시 목록의 부모 표시 객체를 통해 마이그레이션됩니다. 부모 객체가 소스 표시 객 체와 다른 보안 샌드박스에 있는 경우에는 부모 객체 소유자와 소스 객체 소유자 간에 상호 신뢰가 없는 한 해당 부모 객체 아래에서 캡처 및 버블링 단계가 중단됩니다. 상호 신뢰는 다 음 작업을 통해 얻을 수 있습니다. 1. 부모 객체를 소유한 SWF 파일에서 Security.allowDomain() 메서드를 호출하여 소스 객체를 소유한 SWF 파일의 도메인을 신뢰해야 합니다. 2. 소스 객체를 소유한 SWF 파일에서 Security.allowDomain() 메서드를 호출하여 부모 객체를 소유한 SWF 파일의 도메인을 신뢰해야 합니다. 로드된 파일 및 Loader 객체에 해당하는 LoaderInfo 객체에는 로드된 객체와 Loader 객체 간의 관계를 정의하는 childallowsparent 및 parentallowschild의 두 가지 속성이 있습니다. 표시 객체 이외의 객체에서 전달된 이벤트에 대해서는 보안 확인이나 보안 관련 지정이 없습 니다. 크로스 스크립팅 731

26 데이터로 로드된 미디어 액세스 BitmapData.draw() 및 SoundMixer.computeSpectrum()과 같은 메서드를 사용하여 로드 된 데이터에 액세스합니다. 기본적으로 한 보안 샌드박스의 SWF 파일은 다른 보안 샌드박 스에 있는 로드된 미디어로 렌더링되거나 재생되는 그래픽이나 오디오 객체에서 픽셀 데이 터나 오디오 데이터를 가져올 수 없습니다. 하지만 다음 메서드를 사용하여 이러한 권한을 부여할 수 있습니다. 로드된 SWF 파일에서 Security.allowDomain() 메서드를 호출하여 다른 도메인의 SWF 에 대한 데이터 액세스 권한을 부여합니다. 로드된 이미지, 사운드 또는 비디오의 경우 로드된 파일의 서버에 크로스 도메인 정책 파일을 추가합니다. 이 정책 파일에서 BitmapData.draw() 또는 SoundMixer.computeSpectrum() 메서드 호출을 시도하는 SWF 파일의 도메인에 대한 액세스 권한을 부여해야 해당 파일에서 데이터를 추출할 수 있습니다. 다음 단원에서는 비트맵, 사운드 및 비디오 데이터 액세스에 대해 자세히 설명합니다. 비트맵 데이터 액세스 BitmapData 객체의 draw() 메서드를 사용하면 BitmapData 객체에 현재 표시되는 모든 표시 객체의 픽셀을 그릴 수 있습니다. 여기에는 MovieClip 객체, Bitmap 객체 또는 모든 표시 객 체의 픽셀이 포함됩니다. 다음 조건이 충족되어야 draw() 메서드로 BitmapData 객체에 픽셀 을 그릴 수 있습니다. 로드된 비트맵이 아닌 소스 객체의 경우, 소스 객체와 (Sprite 또는 MovieClip 객체의 경우) 모든 자식 객체가 draw() 메서드를 호출하는 객체와 동일한 도메인에 있거나 또는 Security.allowDomain() 메서드를 호출하여 해당 호출자에서 액세스할 수 있는 SWF 파일에 있어야 합니다. 로드된 비트맵 소스 객체의 경우에는 소스 객체가 draw() 메서드를 호출하는 객체와 동 일한 도메인에 있거나 또는 해당 소스 서버에 호출하는 도메인에 권한을 부여하는 크로 스 도메인 정책 파일이 포함되어 있어야 합니다. 이러한 조건이 충족되지 않으면 SecurityError 예외가 발생합니다. Loader 클래스의 load() 메서드를 사용하여 이미지를 로드하는 경우 LoaderContext 객체인 context 매개 변수를 지정할 수 있습니다. LoaderContext 객체의 checkpolicyfile 속성을 true로 설정하면 Flash Player에서 이미지가 로드되는 서버의 크로스 도메인 정책 파일을 확 인합니다. 크로스 도메인 정책 파일이 있고 이 파일에서 로드하는 SWF 파일의 도메인을 허 용할 경우, 해당 SWF 파일은 Bitmap 객체의 데이터에 액세스할 수 있고, 그렇지 않으면 액세 스할 수 없습니다. 732 Flash Player 보안

27 또한 텍스트 필드의 <img> 태그를 통해 로드된 이미지의 checkpolicyfile 속성을 지정할 수 있습니다. 자세한 내용은 727페이지의 텍스트 필드에서 <img> 태그를 사용하여 SWF 파 일 및 이미지 로드 를 참조하십시오. 사운드 데이터 액세스 다음과 같은 사운드 관련 ActionScript 3.0 API에는 보안 제한 사항이 있습니다. SoundMixer.computeSpectrum() 메서드 - 사운드 파일과 동일한 보안 샌드박스에 있는 SWF 파일을 항상 허용합니다. 다른 샌드박스의 파일에 대해서는 보안 확인을 실행합니다. SoundMixer.stopAll() 메서드 - 사운드 파일과 동일한 보안 샌드박스에 있는 SWF 파일 을 항상 허용합니다. 다른 샌드박스의 파일에 대해서는 보안 확인을 실행합니다. Sound 클래스의 id3 속성 - 사운드 파일과 동일한 보안 샌드박스에 있는 SWF 파일을 항 상 허용합니다. 다른 샌드박스의 파일에 대해서는 보안 확인을 실행합니다. 모든 사운드에는 내용 샌드박스와 소유자 샌드박스의 두 가지 관련 샌드박스가 있습니다. 사운드의 원래 도메인에 의해 내용 샌드박스가 결정되며 여기에서 사운드의 id3 속성과 SoundMixer.computeSpectrum() 메서드를 통해 사운드에서 데이터를 추출할 수 있는 지 여부가 결정됩니다. 사운드 재생을 시작한 객체에 의해 소유자 샌드박스가 결정되며 여기에서 SoundMixer.stopAll() 메서드를 사용하여 사운드를 중단할 수 있는지 여부가 결정됩 니다. Sound 클래스의 load() 메서드를 사용하여 사운드를 로드하는 경우 SoundLoaderContext 객체인 context 매개 변수를 지정할 수 있습니다. SoundLoaderContext 객체의 checkpolicyfile 속성을 true로 설정하면 Flash Player에서 사운드가 로드되는 서버의 크로 스 도메인 정책 파일을 확인합니다. 크로스 도메인 정책 파일이 있고 이 파일이 로드하는 SWF 파일의 도메인을 허용할 경우, 해당 SWF 파일은 Sound 객체의 id 속성에 액세스할 수 있고, 그렇지 않으면 액세스할 수 없습니다. 또한 checkpolicyfile 속성을 설정하여 로드된 사운드에 SoundMixer.computeSpectrum() 메서드를 사용할 수 있습니다. 하나 이상의 사운드 소유자 샌드박스를 호출자에서 액세스할 수 없어 SoundMixer.stopAll() 메서드 호출 시 모든 사운드가 중단되지 않는지 여부를 SoundMixer.areSoundsInaccessible() 메서드를 사용하여 확인할 수 있습니다. SoundMixer.stopAll() 메서드를 호출하면 stopall()의 호출자와 동일한 소유자 샌드박 스에 있는 사운드를 중단할 수 있습니다. 또한 Security.allowDomain() 메서드를 호출한 SWF 파일에서 재생을 시작한 사운드를 중단하여 stopall() 메서드를 호출하는 SWF 파일 의 도메인에 액세스를 허용할 수 있습니다. 다른 사운드는 중단되지 않으며, 이 사운드는 SoundMixer.areSoundsInaccessible() 메서드를 호출하여 확인할 수 있습니다. 데이터로 로드된 미디어 액세스 733

28 computespectrum() 메서드를 호출하려면 재생되는 모든 사운드가 해당 메서드를 호출하는 객체와 동일한 샌드박스에 있거나 또는 호출자의 샌드박스에 액세스 권한을 부여한 소스에 있 어야 합니다. 그렇지 않으면 SecurityError 예외가 발생합니다. SWF 파일의 라이브러리에 포 함된 사운드에서 로드된 사운드의 경우, 로드된 SWF 파일에서 Security.allowDomain() 메서드를 호출하면 권한이 부여됩니다. SWF 파일이 아닌 소스에서 로드된 사운드의 경우(로 드된 mp3 파일 또는 Flash 비디오에서 시작), 소스 서버의 크로스 도메인 정책 파일에서 로드 된 미디어의 데이터에 대한 액세스 권한을 부여합니다. 사운드를 RTMP 스트림에서 로드한 경우에는 computespectrum() 메서드를 사용할 수 없습니다. 자세한 내용은 717페이지의 제작자(개발자) 컨트롤 및 714페이지의 웹 사이트 컨트롤(크 로스 도메인 정책 파일) 을 참조하십시오. 비디오 데이터 액세스 BitmapData.draw() 메서드를 사용하여 현재 비디오 프레임의 픽셀 데이터를 캡처할 수 있습 니다. 다음과 같은 두 종류의 비디오가 있습니다. RTMP 비디오 RTMP 서버 없이 FLV 파일에서 로드되는 점진적 비디오 BitmapData.draw() 메서드를 사용하여 RTMP 비디오에 액세스할 수 없습니다. 점진적 비디오를 source 매개 변수로 하여 BitmapData.draw() 메서드를 호출하는 경우, BitmapData.draw()의 호출자가 FLV 파일과 동일한 샌드박스에 있거나, 또는 FLV 파일의 서버에 호출하는 SWF 파일의 도메인에 대해 권한을 부여하는 정책 파일을 있어야 합니다. NetStream 객체의 checkpolicyfile 속성을 true로 설정하여 해당 정책 파일의 다운로드를 요청할 수 있습니다. 데이터 로드 SWF 파일은 서버에서 ActionScript로 데이터를 로드하고 ActionScript에서 서버로 데이터를 보낼 수 있습니다. 로드된 정보가 미디어로 표시되지 않고 ActionScript에 직접 표시되므로, 데이터 로드 작업은 미디어 로드 작업과는 다릅니다. 일반적으로 SWF 파일은 자체 도메인 에서 데이터를 로드할 수 있습니다. 그러나 다른 도메인에서 데이터를 로드하려면 보통 크로 스 도메인 정책 파일이 필요합니다. 734 Flash Player 보안

29 URLLoader 및 URLStream 사용 XML 파일이나 텍스트 파일과 같은 데이터를 로드할 수 있습니다. URLLoader 및 URLStream 클래스의 load() 메서드는 크로스 도메인 정책 파일 권한으로 제어합니다. load() 메서드를 사용하여 해당 메서드를 호출하는 SWF 파일의 도메인이 아닌 다른 도메인 의 내용을 로드하는 경우, Flash Player는 로드되는 에셋의 서버에서 크로스 도메인 정책 파일 을 확인합니다. 크로스 도메인 정책 파일이 있으면 로드하는 SWF 파일의 도메인에 대한 액세 스가 허용되고 데이터를 로드할 수 있습니다. 소켓 연결 소켓 및 XML 소켓 연결에 대한 크로스 도메인 액세스는 기본적으로 비활성화됩니다. 또한 1024 미만의 포트에서 SWF 파일과 동일한 도메인에 있는 소켓 연결에 대한 액세스도 기본적 으로 비활성화됩니다. 사용자는 다음 위치에서 크로스 도메인 정책 파일을 제공하여 이러한 포트에 대한 액세스를 허용할 수 있습니다. 기본 소켓 연결과 동일한 포트 다른 포트 소켓 서버와 동일한 도메인의 포트 80에 있는 HTTP 서버 기본 소켓 연결과 동일한 포트 또는 다른 포트에서 크로스 도메인 정책 파일을 제공하는 경우, 다음 예제와 같이 크로스 도메인 정책 파일의 to-ports 속성을 사용하여 허용되는 포트를 열거할 수 있습니다. <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM " <!-- Policy file for xmlsocket://socks.mysite.com --> <cross-domain-policy> <allow-access-from domain="*" to-ports="507" /> <allow-access-from domain="*.example.com" to-ports="507,516" /> <allow-access-from domain="*.example.org" to-ports=" " /> <allow-access-from domain="adobe.com" to-ports="507, " /> <allow-access-from domain=" " to-ports="*" /> </cross-domain-policy> 기본 소켓 연결과 동일한 포트에서 소켓 정책 파일을 가져오려면 단순히 Socket.connect() 또는 XMLSocket.connect() 메서드를 호출합니다. 지정된 도메인이 호출하는 SWF 파일의 도메인과 다른 경우 Flash Player에서는 자동으로 사용자가 연결하려는 기본 연결과 동일한 포트에서 정책 파일을 가져오려고 시도합니다. 기본 연결과 동일한 서버의 다른 포트에서 소켓 정책 파일을 가져오려면, 다음과 같이 특수 "xmlsocket" 구문을 사용하여 Security.loadPolicyFile() 메서드를 호출합니다. Security.loadPolicyFile("xmlsocket://server.com:2525"); 데이터 로드 735

30 Security.loadPolicyFile() 메서드를 Socket.connect() 또는 XMLSocket.connect() 메서드보다 먼저 호출합니다. 그러면 Flash Player은 정책 파일 요청이 수행될 때까지 기다렸 다가 기본 연결을 허용할지 여부를 결정합니다. 소켓 서버를 구현하고 소켓 정책 파일을 제공해야 할 필요가 있는 경우에는 기본 연결을 허용 하는 포트와 동일한 포트를 사용하여 정책 파일을 제공할지 아니면 다른 포트에서 정책 파일 을 제공할지 여부를 결정합니다. 두 경우 모두 서버는 클라이언트에서 첫 번째 전송을 수행할 때까지 기다렸다가 정책 파일을 보낼지 또는 기본 연결을 설정할지 여부를 결정합니다. Flash Player에서 정책 파일을 요청할 때는 항상 연결이 설정된 직후에 다음 문자열을 전송합니다. <policy-file-request/> 서버는 이 문자열을 수신한 후 정책 파일을 전송할 수 있습니다. 정책 파일 요청과 기본 연결 모두에 동일한 연결을 다시 사용하지 마십시오. 정책 파일을 전송한 후에는 해당 연결을 닫 아야 합니다. 연결을 닫지 않으면, Flash Player에서 기본 연결을 설정하기 위해 다시 연결하 기 전에 정책 파일 연결을 닫습니다. 자세한 내용은 716페이지의 소켓 정책 파일 을 참조하십시오. 데이터 보내기 데이터 전송은 SWF 파일의 ActionScript 코드에서 서버 또는 리소스에 데이터를 보낼 때 발 생합니다. 네트워크 도메인 SWF 파일에는 데이터 전송이 항상 허용됩니다. 로컬 SWF 파일 은 local-trusted 또는 local-with-networking 샌드박스에 있는 경우에만 네트워크 주소로 데이 터를 보낼 수 있습니다. 자세한 내용은 719페이지의 로컬 샌드박스 를 참조하십시오. flash.net.sendtourl() 함수를 사용하여 URL로 데이터를 보낼 수 있습니다. 기타 메서드 를 사용하여 URL로 요청을 보낼 수도 있습니다. 여기에는 Loader.load() 및 Sound.load()와 같은 로드 메서드, URLLoader.load() 및 URLStream.load()와 같은 데이 터 로드 메서드가 포함됩니다. 736 Flash Player 보안

31 파일 업로드 및 다운로드 FileReference.upload() 메서드는 원격 서버로 사용자가 선택한 파일의 업로드를 시작합 니다. FileReference.browse() 또는 FileReferenceList.browse() 메서드는 FileReference.upload() 메서드보다 먼저 호출해야 합니다. FileReference.download() 메서드를 호출하면 원격 서버에서 파일을 다운로드할 수 있는 대화 상자가 열립니다. 중요 서버에 사용자 인증이 필요한 경우 브라우저에서 실행 중인, 즉 브라우저 플러그 인이나 ActiveX 컨트롤을 사용하는 SWF 파일만이 인증 및 다운로드에 필요한 사용자 이름과 암호를 요청하는 대화 상자를 제공할 수 있습니다. Flash Player는 사용자 인증을 요청하는 서버에 대한 업로드 를 허용하지 않습니다. 호출하는 SWF 파일이 local-with-filesystem 샌드박스에 있는 경우에는 업로드 및 다운로드가 허용되지 않습니다. 기본적으로 SWF 파일은 자체 서버가 아닌 서버에서의 업로드나 다운로드를 시작하지 않습 니다. 호출하는 SWF 파일의 도메인에 권한을 부여하는 크로스 도메인 정책 파일이 서버에 서 제공되는 경우, SWF 파일은 다른 서버로부터의 업로드 및 다운로드를 허용합니다. 보안 도메인으로 가져온 SWF 파일에서 포함 된 내용 로드 SWF 파일을 로드하는 경우 해당 파일을 로드하는 데 사용되는 Loader 객체의 load() 메서 드에 대한 context 매개 변수를 설정할 수 있습니다. 이 매개 변수는 LoaderContext 객체를 사용합니다. LoaderContext 객체의 securitydomain 속성을 Security.currentDomain으로 설정하면 Flash Player에서 로드된 SWF 파일의 서버에서 크로스 도메인 정책 파일을 확인합 니다. 크로스 도메인 정책 파일이 있으면 로드하는 SWF 파일의 도메인에 대한 액세스가 허 용되고 SWF 파일을 가져온 미디어로 로드할 수 있습니다. 이렇게 하여 로드하는 파일이 SWF 파일의 라이브러리에 있는 객체에 액세스할 수 있습니다. SWF 파일에서 다른 보안 샌드박스에 로드된 SWF 파일의 클래스에 액세스하는 다른 방법은, 로드된 SWF 파일에서 Security.allowDomain() 메서드를 호출하여 호출하는 SWF 파일의 도메인에 대한 액세스를 허용하는 것입니다. 로드된 SWF 파일의 기본 클래스 생성자 메서드 에 Security.allowDomain() 메서드에 대한 호출을 추가한 다음, 로드하는 SWF 파일에서 Loader 객체의 contentloaderinfo 속성으로부터 전달되는 init 이벤트에 응답하는 이벤트 리스너를 추가하도록 할 수 있습니다. 이 이벤트가 전달되면 생성자 메서드에서 Security.allowDomain() 메서드를 호출했던 로드된 SWF 파일과 로드된 SWF 파일의 클래 스를 로드하는 SWF 파일에서 사용할 수 있습니다. 로드하는 SWF 파일은 Loader.contentLoaderInfo.applicationDomain.getDefinition()을 호출하여 로드된 SWF 파일에서 클래스를 가져올 수 있습니다. 보안 도메인으로 가져온 SWF 파일에서 포함된 내용 로드 737

32 이전 내용으로 작업 Flash Player 6에서 특정 Flash Player 설정에 사용되는 도메인은 SWF 파일 도메인의 뒷부분을 기준으로 합니다. 이러한 설정에는 카메라 및 마이크 권한, 저장소 할당량, 영구 공유 객체 저 장소 설정이 포함됩니다. 예를 들어, SWF 파일의 도메인이 같이 세 부분 이상으로 구성된 경우 도메인의 첫 번째 부분(www)이 제거되고 도메인의 나머지 부분이 사용됩니다. 따라서 Flash Player 6에서는 store.example.com 모두에서 설정에 example.com 도메인 을 사용합니다. 마찬가지로 store.example.co.uk 모두에서 설정에 example.co.uk 도메인을 사용합니다. 이렇게 하면 example1.co.uk 및 example2.co.uk와 같은 관련되지 않은 도메인의 SWF 파일에서 동일한 공유 객체에 액세스하는 문제가 발생할 수 있습니다. Flash Player 7 이상 버전에서는 기본적으로 SWF 파일의 정확한 도메인에 따라 플레이어 설정 이 선택됩니다. 예를 들어, SWF 파일은 플레이어 설정을 사용하고, store.example.com의 SWF 파일은 store.example.com에 별도로 설정된 플레 이어 설정을 사용합니다. ActionScript 3.0을 사용하여 작성된 SWF 파일에서 Security.exactSettings가 true(기본 값)로 설정된 경우 Flash Player는 플레이어 설정에 정확히 일치하는 도메인을 사용합니다. false로 설정된 경우에는 Flash Player 6에서 사용되는 도메인 설정을 사용합니다. 설정 기본 값에서 exactsettings를 변경하려면 Flash Player에서 카메라 또는 마이크를 사용하거나 영구 공유 객체를 가져오는 등 플레이어 설정을 선택하는 이벤트가 발생하기 전에 변경해야 합니다. 버전 6 SWF 파일을 제작하고 여기에서 영구 공유 객체를 작성한 경우, ActionScript 3.0을 사 용하는 SWF에서 영구 공유 객체를 가져오려면 SharedObject.getLocal()을 호출하기 전 에 Security.exactSettings를 false로 설정해야 합니다. 738 Flash Player 보안

33 LocalConnection 권한 설정 LocalConnection 클래스를 사용하여 서로에게 지시 사항을 보낼 수 있는 SWF 파일을 개발할 수 있습니다. LocalConnection 객체는 동일한 클라이언트 컴퓨터에서 실행되고 있는 SWF 파 일 간에서만 통신할 수 있습니다. 그러나 이 SWF 파일들은 서로 다른 응용 프로그램에서 실 행될 수 있습니다. 예를 들어, 한 SWF 파일은 브라우저에서, 다른 SWF 파일은 프로젝터에서 실행될 수 있습니다. 모든 LocalConnection 통신에는 센더 SWF 파일과 리스너 SWF 파일이 있습니다. 기본적으로 Flash Player는 동일한 도메인에 있는 SWF 파일 간에 LocalConnection 통신을 허용합니다. 서로 다른 샌드박스에 있는 SWF 파일의 경우에는 리스너에서 LocalConnection.allowDomain() 메서드를 사용하여 센더 권한을 허용해야 합니다. LocalConnection.allowDomain() 메서드에 인수로 전달하는 문자열에는 정확한 도메인 이름, IP 주소 및 * 와일드카드를 포함할 수 있습니다. 중요 allowdomain() 메서드는 ActionScript 1.0 및 2.0에서의 형식과는 다르게 변경되었습니다. 이전 버전에서 allowdomain()은 구현되는 콜백 메서드였습니다. ActionScript 3.0에서 allowdomain()은 호출되는 LocalConnection 클래스의 내장 메서드입니다. 이러한 변경으 로 인해 allowdomain()은 Security.allowDomain()과 거의 동일한 방식으로 작동됩니다. SWF 파일은 LocalConnection 클래스의 domain 속성을 사용하여 도메인을 확인합니다. 호스트 웹 페이지에서 스크립트에 대한 액세 스 제어 아웃바운드 스크립팅은 다음과 같은 ActionScript 3.0 API를 사용하여 수행됩니다. flash.system.fscommand() 함수 flash.net.navigatetourl() 함수(navigateToURL("javascript: alert('hello from Flash Player.')" 등의 스크립팅 문을 지정하는 경우) flash.net.navigatetourl() 함수(window 매개 변수가 "_top", "_self" 또는 "_parent"로 설정된 경우) ExternalInterface.call() 메서드 로컬로 실행 중인 SWF 파일의 경우 SWF 파일과 포함하는 웹 페이지(있는 경우)가 localtrusted 보안 샌드박스에 있는 경우에만 이러한 메서드를 성공적으로 호출할 수 있습니다. 내 용이 local-with-networking 또는 local-with-filesystem 샌드박스에 있는 경우에는 해당 메서드 에 대한 호출이 실패합니다. SWF 파일을 로드하는 HTML 코드의 AllowScriptAccess 매개 변수는 SWF 파일 내에서 아웃바운드 스크립팅을 수행하는 기능을 제어합니다. 호스트 웹 페이지에서 스크립트에 대한 액세스 제어 739

34 SWF 파일을 호스트하는 웹 페이지의 HTML 코드에 이 매개 변수를 설정합니다. PARAM 또 는 EMBED 태그에 매개 변수를 설정합니다. AllowScriptAccess 매개 변수는 가능한 세 가지 값, "always", "samedomain" 또는 "never" 중 하나를 가질 수 있습니다. AllowScriptAccess가 "samedomain"이면 SWF 파일과 해당 웹 페이지가 동일한 도메 인에 있는 경우에만 아웃바운드 스크립팅이 허용됩니다. AVM2 내용의 기본값입니다. AllowScriptAccess가 "never"이면 아웃바운드 스크립팅은 항상 실패합니다. AllowScriptAccess가 "always"이면 아웃바운드 스크립팅은 항상 성공합니다. AllowScriptAccess 매개 변수가 HTML 페이지의 SWF 파일에 지정되지 않은 경우에는 AVM2 내용에는 "samedomain"이 기본값으로 사용됩니다. 다음은 HTML 페이지에 AllowScriptAccess 태그를 설정하는 예입니다. <object id='mymovie.swf' classid='clsid:d27cdb6e-ae6d-11cf-96b ' codebase=' flash/swflash.cab#version=9,0,0,0' height='100%' width='100%'> <param name='allowscriptaccess' value='never'/> <param name='src' value=''mymovie.swf'/> <embed name='mymovie.swf' pluginspage=' getflashplayer' src='mymovie.swf' height='100%' width='100%' AllowScriptAccess='never'/> </object> AllowScriptAccess 매개 변수는 한 도메인에서 호스팅되는 SWF 파일이 다른 도메인의 HTML 페이지에 있는 스크립트에 액세스하지 못하도록 할 수 있습니다. 다른 도메인에서 호스팅되는 모든 SWF 파일에 AllowScriptAccess="never"를 사용하여 HTML 페이지에 있는 스크립트의 보안을 유지할 수 있습니다. 자세한 내용은 ActionScript 3.0 언어 및 구성 요소 참조 설명서에서 다음 항목을 참조하십시오. flash.system.fscommand() 함수 flash.net.navigatetourl() 함수 ExternalInterface 클래스의 call() 메서드 740 Flash Player 보안

35 공유 객체 Flash Player는 공유 객체를 사용하는 기능을 제공합니다. 공유 객체는 SWF 파일의 외부에 즉, 사용자의 파일 시스템에 로컬로 또는 RTMP 서버에 원격으로 존속하는 ActionScript 객체입 니다. 공유 객체는 Flash Player의 다른 미디어와 같이 보안 샌드박스로 구분됩니다. 하지만 공유 객체는 도메인 경계를 넘어 액세스할 수 있는 리소스가 아니므로 공유 객체에 대한 샌 드박스 모델은 약간 다릅니다. 대신 공유 객체는 항상 SharedObject 클래스의 메서드를 호출 하는 각 SWF 파일의 도메인에 대한 특정 공유 객체 저장소에서 가져옵니다. 보통 공유 객체 저장소는 SWF 파일의 도메인보다 세부적으로 구분되어 있으며, 기본적으로 각 SWF 파일은 전체 원래 URL에 대한 특정 공유 객체 저장소를 사용합니다. SWF 파일은 SharedObject.getLocal() 및 SharedObject.getRemote() 메서드의 localpath 매개 변수를 사용하여 해당 URL의 일부와 연관된 공유 객체 저장소를 사용할 수 있습니다. 이렇게 하여 SWF 파일은 다른 URL의 다른 SWF 파일과 공유 객체 저장소를 공유 할 수 있습니다. localpath 매개 변수로 '/'를 전달하는 경우에도 해당 도메인에 대한 특정 공유 객체 저장소가 지정됩니다. 사용자는 [Flash Player 설정] 대화 상자 또는 설정 관리자를 사용하여 공유 객체 액세스를 제한 할 수 있습니다. 기본적으로 도메인당 최대 100KB의 공유 객체 데이터를 만들 수 있습니다. 관리자와 사용자는 또한 파일 시스템에 대한 쓰기 권한을 제한할 수도 있습니다. 자세한 내용 은 710페이지의 관리자 컨트롤 및 712페이지의 사용자 컨트롤 을 참조하십시오. SharedObject.getLocal() 메서드 또는 SharedObject.getRemote() 메서드의 secure 매개 변수에 true를 지정하여 보안 공유 객체를 지정할 수 있습니다. secure 매개 변수의 다음 사 항에 주의하십시오. 이 매개 변수를 true로 설정하면 Flash Player가 보안 공유 객체를 새로 만들거나 기존 보안 공유 객체에 대한 참조를 가져옵니다. 이 보안 공유 객체는 secure 매개 변수가 true로 설정된 SharedObject.getLocal()을 호출하는 HTTPS를 통해 제공되는 SWF 파일에 서만 읽거나 쓸 수 있습니다. 이 매개 변수가 false로 설정되면 Flash Player는 비 HTTPS 연결을 통해 제공되는 SWF 파일에서 읽거나 쓸 수 있는 새 공유 객체를 만들거나 기존 공유 객체에 대한 참조를 가져 옵니다. 호출하는 SWF 파일이 HTTPS URL에 없는 경우, SharedObject.getLocal() 메서드 또는 SharedObject.getRemote() 메서드의 secure 매개 변수를 true로 지정하면 SecurityError 예외가 발생합니다. 공유 객체 741

36 공유 객체 저장소의 선택은 SWF 파일의 원래 URL을 기반으로 합니다. 이것은 SWF 파일이 단순 URL에서 시작되지 않은 경우 즉, 가져오기 로드 및 동적 로드의 두 상황에도 적용됩니 다. 가져오기 로드는 LoaderContext.securityDomain 속성이 SecurityDomain.currentDomain으로 설정된 SWF 파일을 로드하는 경우입니다. 이 경우 로드된 SWF 파일은 로드하는 SWF 파일의 도메인에서 시작하여 실제 원래 URL을 지정하는 의사 URL을 가집니다. 동적 로드는 Loader.loadBytes() 메서드를 사용하여 SWF 파일을 로드하는 것을 말합니다. 이 경우 로드된 SWF 파일은 로드하는 SWF 파일의 전체 URL 다음 에 정수 ID가 오는 의사 URL을 가집니다. 가져오기 로드 및 동적 로드의 두 경우 모두 LoaderInfo.url 속성을 사용하여 SWF 파일의 의사 URL을 검사할 수 있습니다. 의사 URL 은 공유 객체 저장소 선택 시 실제 URL과 동일하게 취급됩니다. 의사 URL의 일부 또는 전체 를 사용하는 공유 객체 localpath 매개 변수를 지정할 수 있습니다. 사용자 및 관리자는 타사 공유 객체를 사용하지 못하도록 지정할 수 있습니다. SWF 파일의 원래 URL이 브라우저의 주소 표시줄에 표시된 URL과 다른 도메인인 경우에는 웹 브라우저 에서 실행 중인 모든 SWF 파일에서 공유 객체를 사용합니다. 사용자 및 관리자는 크로스 도 메인 추적을 방지하고 개인 정보를 보호하기 위해 타사 공유 객체를 사용하지 못하도록 지정 할 수 있습니다. 이 제한을 피하려면 SWF 파일이 브라우저의 주소 표시줄에 표시된 도메인 과 동일한 도메인에서 제공되도록 하는 HTML 페이지 구조 내에서만 공유 객체를 사용하는 SWF 파일이 로드되도록 해야 합니다. 타사 SWF 파일의 공유 객체를 사용하려고 시도하면 타사 공유 객체 사용이 비활성화되고 SharedObject.getLocal() 및 SharedObject.getRemote() 메서드에서 null을 반환합니다. 자세한 내용은 참조하십시오. 742 Flash Player 보안