Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise

Transcription

1 LIVRE BLANC Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise Adrian Ludwig Septembre 2005

2 Copyright 2005 Macromedia, Inc. Tous droits réservés. Les informations publiées dans ce document représentent l opinion de Macromedia quant aux sujets abordés à la date de publication. Macromedia devant répondre à des conditions de marché fluctuantes, les informations publiées dans ce document ne devraient pas être interprétées comme un engagement de sa part, Macromedia ne pouvant pas garantir la précision de ces informations après la date de publication. Ce livre blanc n est publié qu à des fins d information. Macromedia n offre aucune garantie, expresse ou implicite, quant aux contenus de ce document. Ce document contient des liens vers des sites tiers qui ne sont en aucun cas contrôlés par Macromedia, qui n est aucunement responsable du contenu de ces sites, des liens figurant dans ces sites, ni des modifications apportées aux contenus de ces sites. Macromedia n est pas responsable des contenus diffusés ou reçus des sites liés. Macromedia ne fournit ces liens qu à des fins d information et l inclusion de tels liens n implique en aucun cas la responsabilité de Macromedia quant aux contenus de sites tiers. Le sujet abordé dans ce document peut faire l objet de brevets, demandes de brevet, marques, copyright ou autres droits de propriété intellectuelle appartenant à Macromedia. Ce document ne vous donne aucun droit à ces brevets, marques, copyright ou autre propriété intellectuelle, sauf dans le cas d un contrat spécifique établi avec Macromedia. Macromedia, le logo Macromedia, Breeze, Flex, FlashCast et Flash sont des marques ou des marques déposées de Macromedia, Inc. aux Etats-Unis et/ou dans d autres pays. Les noms de sociétés ou de produits mentionnés dans ce document peuvent être des marques appartenant à d autres entités. Macromedia ne parraine ni ne soutient de tels produits et/ou services en aucune façon. Macromedia, Inc. 601 Townsend Street San Francisco, CA Etats-Unis

3 Table des matières Questions liées à la sécurité de la plate-forme Flash...1 Authentification...3 Exemple de solution : Macromedia Breeze...3 Contrôle de l accès...4 Contrôles de l accès côté serveur...4 Contrôles de l accès côté client...4 Exemple de solution : FlashCast...4 Accès sans autorisation aux ressources du système hôte...5 Accès sans autorisation aux données...5 Accès sans autorisation aux données de l utilisateur...6 Code malveillant... 7 L approche d espace de sécurité : protection contre les activités et le code malveillants... 7 Risques minimes d injection de code SQL et de cross-site scripting... 7 Exemple de solution : Macromedia Breeze... 7 Transport des données...8 Respect de standards...8 Sécurité sur les réseaux sans fil...8 Facilité d intégration avec des équilibreurs de charge et des accélérateurs SSL...8 Pris en charge du tunneling chiffré...9 Exemple de solution : service de diffusion de vidéo Flash Speedera...9 Conclusion Pour plus d informations Références... 11

4 La plate-forme Macromedia Flash est l outil idéal pour se démarquer dans un monde dans lequel la plupart des expériences numériques laissent quelque peu à désirer. Application légère et multiplates-formes, Macromedia Flash convient non seulement au multimédia mais également aux applications d entreprise, aux communications et aux applications mobiles. La plate-forme Flash est à la base d un nombre croissant d applications Internet évoluées, une évolution qui entraîne également l augmentation du nombre d employés, de partenaires et de clients qui ont accès aux informations et aux données de l entreprise. Un tel accès, combiné aux réglementations telles que le Sarbanes-Oxley Act et le Health Insurance Portability and Accountability Act (HIPAA) aux Etats-Unis, met l accent sur le niveau de sécurité fourni par cette structure. La plateforme Flash et la gamme de produits Flex répondent aux besoins de sécurité en s appuyant sur les solutions et les technologies en place dans l entreprise. Questions liées à la sécurité de la plate-forme Flash L approche suivie par Macromedia a toujours été d implémenter une sécurité robuste pour ses propres produits, tout en évitant l exposition du reste de l environnement. Cependant, les technologies de la plateforme Flash ne sont pas des produits de sécurité en tant que tels et ne font que s appuyer sur les outils et les approches en place dans l entreprise utilisatrice, sans investissements supplémentaires en termes de sécurité. Par exemple, la plate-forme Flash s intègre parfaitement à l architecture en place au niveau du navigateur sous la forme d un plug-in et à la couche de présentation par l intermédiaire du logiciel Flex ou d une solution HTML statique avec des scripts et Flash (Figure 1). La sécurité est gérée par des solutions et des protocoles existants (Figure 2). La plate-forme Flash s appuyant sur SSL et des technologies d authentification, et n obligeant à aucun changement des paramètres de sécurité et de contrôle de l accès, l entreprise n a pas besoin d implémenter de solutions supplémentaires de sécurité pour utiliser la plateforme Flash. Figure 1 : La plate-forme Macromedia Flash s appuie sur l infrastructure en place dans l entreprise. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 1

5 Figure 2 : Dans les environnements Flash, la sécurité est gérée par des solutions et des protocoles existants. La plate-forme Flash est un environnement véritablement multiplates-formes qui s appuie sur les fonctions de sécurité des systèmes d exploitation, des navigateurs et des serveurs d applications installés. La plateforme Flash repose sur des standards de sécurité éprouvés et acceptés tels que SSL et HTTPS pour le transport des données. Son architecture multicouches est composée des éléments-clés présentés dans la figure 3. Ce livre blanc porte principalement sur les serveurs et les exécutables (Macromedia Flash Player et Macromedia Flex, par exemple) qui sont utilisés pour présenter les applications, les contenus et les communications Flash, et qui servent de plate-forme, fournissent les commandes et spécifient l architecture. Ce livre blanc comprend également des exemples de solutions telles que Macromedia Breeze et Macromedia FlashCast qui sont basées sur cette structure. Figure 3 : La plate-forme Flash est basée sur une architecture multicouches composée de ces élémentsclés. Le livre blanc Macromedia intitulé Publication d applications, de contenus et de communications avec la plateforme Flash comprend de plus amples informations sur la plate-forme Flash. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 2

6 Authentification Une obligation permanente de respecter diverses réglementations et le nombre croissant de partenaires, de sous-traitants et de clients qui ont accès au réseau de l entreprise obligent cette dernière à mettre en place des systèmes plus poussés d authentification et d autorisation. De tels systèmes comprennent connexion avec mot de passe, réseau privé virtuel, matériel tel que carte à puce, PKI, RSA SecurID ou d autres éléments matériels. Des réglementations spécifiques à certains secteurs obligent également à la mise en place de solutions d authentification. Par exemple, les agences fédérales américaines et les organismes financiers aux Etats-Unis doivent utiliser des mesures d authentification à double facteur pour la protection des transactions électroniques. De même, les entreprises pharmaceutiques et le secteur de la santé doivent mieux protéger les informations confidentielles des patients, conformément aux réglementations telles que HIPAA. Heureusement, la plate-forme Flash permet d exploiter au mieux l infrastructure en place et les investissements en sécurité existants pour répondre à de telles obligations. Le serveur de présentations Flex repose sur un serveur Java et s intègre aux protocoles standards d authentification tels que LDAP et d autres services d annuaire. Du côté client, l exécutable Flash emploie les technologies web telles que le traitement d authentification par les navigateurs. Exemple de solution : Macromedia Breeze Macromedia Breeze, un système de communication en ligne à fort impact et immédiatement accessible grâce à Flash Player, est basé sur la plate-forme Flash. Les données, le son et la vidéo des applications Breeze peuvent être diffusés aux utilisateurs avec un chiffrement SSL (Secure Socket Layer) à 128 bits. En outre, Breeze permet d effectuer l intégration avec les systèmes de l entreprise, tels que LDAP, pour faciliter la gestion des utilisateurs et des groupes à partir d un même emplacement. Enfin, le système de connexion de Breeze prend en charge l intégration directe des systèmes d authentification tels que etrust SiteMinder de Computer Associates. L intégration avec les systèmes d authentification en place dans l entreprise élimine les multiples noms d utilisateur et mots de passe. Une évaluation menée par Symantec Professional Services a conduit Symantec à conclure que Breeze a été conçu et implémenté conformément aux meilleures pratiques de sécurité et que le modèle de sécurité de Breeze fournit une protection intégrée pour l environnement et les données des applications. Cette évaluation a montré que Breeze 5 empêche les utilisateurs sans les autorisations et l authentification nécessaires d accéder aux éléments de Breeze. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 3

7 Contrôle de l accès Le contrôle de l accès est de plus en plus utilisé pour les contenus et les applications au sein des réseaux d entreprise. Alors que les conditions de contrôle de l accès varient en fonction des applications, la plate-forme Flash comprend un certain nombre de fonctions à cet effet. Alors que certaines de ces fonctions de contrôle de l accès sont configurées à l avance, les administrateurs ou les utilisateurs peuvent dans certains cas les personnaliser en fonction des besoins. Contrôles de l accès côté serveur La plate-forme Flash fournit des fonctions de contrôle de l accès aux données côté serveur, par l intermédiaire du serveur de présentations Flex et des fonctions de contrôle en place sur les serveurs servant à l hébergement. En outre, les administrateurs peuvent utiliser une «liste blanche» pour contrôler l accès à toutes les données. Un modèle de permissions capable de normaliser les requêtes d accès aux données permet à Flex d empêcher le décodage et l interprétation des Inc., une entreprise de services de sécurité numérique, a testé la fonction de liste blanche du serveur de présentations Flex en simulant des attaques et a validé la capacité du serveur à répondre aux attaques les plus courantes sur indique, dans son étude de Macromedia Flex, que «la fonction de validation de la saisie [de Flex] est suffisamment puissante pour réduire le risque de récupération d informations confidentielles ou d interruption des services d applications Flex par un acte malveillant». Contrôles de l accès côté client Tout comme le modèle employé pour Java et JavaScript, l exécution des contenus Flash Player est effectuée au sein d une machine virtuelle avec un espace de sécurité. Toutes les ressources Flash Player (applications, données, adresses URL, etc.) sont isolées au sein de cet espace du reste de l environnement, de même que des autres espaces de sécurité. Cette approche fournit un avantage par rapport aux applications web traditionnelles, telles que les solutions ActiveX, qui disposent généralement d un accès sans restriction à tout l environnement et au système d exploitation. Alors que les applications exécutées dans Flash Player peuvent interagir sans restriction avec les ressources au sein du même espace de sécurité, l espace de sécurité de Flash Player empêche l accès sans autorisation au système d exploitation, de même qu aux autres instances locales de Flash Player. Exemple de solution : FlashCast L approche consistant à utiliser des espaces de sécurité est utilisée pour les applications mobiles telles que les logiciels Macromedia FlashCast. De façon semblable à Flash Player, le client FlashCast qui réside sur les appareils mobiles communique avec le serveur FlashCast pour obtenir des contenus mis à jour, puis exécute les contenus et gère les ressources, telles que l enregistrement en local, au sein d un espace de sécurité. L approche consistant à utiliser des espaces de sécurité permet à l entreprise de communiquer par l intermédiaire de plusieurs canaux tout en minimisant les risques d atteinte à la sécurité. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 4

8 Accès sans autorisation aux ressources du système hôte L accès sans autorisation aux ressources d un système hôte inclut la possibilité de contrôler les applications, les périphériques ou les ressources liées à un système dans l optique de les désactiver, de les bloquer ou de changer les méthodes d accès à ces ressources, par l intermédiaire d attaques de dépassement de tampon ou de refus de service, par exemple. Flash Player ne fournit qu un accès limité à des ressources spécifiques. Par exemple, Flash Player ne permet pas aux contenus de s affecter leur propre quantité de mémoire, de changer les paramètres du système d exploitation ou de modifier les valeurs du registre système. A la différence d autres technologies côté client, Flash Player comprend un ensemble contrôlé d objets et d opérations qui sont principalement des constructions spécifiques à l environnement d exécution Flash. Flash Player n ayant accès qu à un certain nombre de fonctionnalités du système, le risque de création de contenus capables d accéder sans autorisation au système ou aux ressources de l hôte reste relativement réduit. Flash Player contrôle l usage qu il fait de ressources-clés du système, telles que l espace disque et la mémoire, de façon à limiter les possibilités d attaques de refus de service. Flash Player établit une limite initiale de 100 Ko d espace disque disponible pour chaque domaine. Si nécessaire, Flash Player ou les contenus qu il exécute peuvent inviter l utilisateur à augmenter l espace disque affecté. Cependant, la limite d espace disque est maintenue jusqu à ce que l utilisateur accepte l augmentation de l espace disque utilisé par un domaine particulier. L exécutable de Flash Player fournit des interfaces de sécurité bien définies avec les autres applications et contenus web. La façon dont l exécutable client a été créé empêche le développement d applications Flash qui pourraient contrôler d autres applications qui ne sont pas basées sur l architecture Flash. Alors que les applications Flash peuvent communiquer entre elles, le modèle d espace de sécurité permet d assurer que des contenus provenant de domaines différents soient confinés à leur propre espace de sécurité. Les applications et les contenus peuvent communiquer au sein d un même espace de sécurité, mais la communication avec l extérieur de l espace de sécurité est étroitement contrôlée. Cela comprend des scénarios dans lesquels plusieurs applications Flash seraient exécutées au sein d une même instance de Flash Player et des tentatives de communication seraient effectuées entre deux sous-instances de Flash Player. Accès sans autorisation aux données L accès sans autorisation aux données est l accès à des disques locaux, des disques en réseau ou de serveurs web communiquées sur le réseau ou enregistrées en mémoire par une application ou un processus (des listes de mots de passe, des carnets d adresses, des documents confidentiels ou le code d applications, par exemple). Un programme ActionScript exécuté dans Flash Player ne peut pas écrire, modifier ou supprimer des fichiers de la machine cliente autres que des objets partagés (fichiers spécifiques à Flash) et ne peut accéder qu aux objets partagés du même domaine. Les applications Flash basées sur Internet ne peuvent pas lire les données ou les fichiers locaux. Aucune méthode ActionScript ne permet aux applications Flash de créer, modifier ou supprimer directement des dossiers ou des fichiers. Pour que des contenus Flash Player puissent accéder aux données côté serveur, le domaine à partir duquel les contenus Flash Player sont diffusés doit obtenir une permission explicite du domaine hébergeant les données demandées (le domaine fournisseur). Sans cette permission, la tentative de chargement conduit à un échec. De telles permissions sont spécifiées dans un fichier enregistré sur le serveur du domaine fournisseur. Ce fichier contrôle l accès grâce à une liste explicite des domaines qui peuvent accéder aux données sur ce serveur. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 5

9 Accès sans autorisation aux données de l utilisateur Des données personnelles et financières, de même que des informations sur les paramètres de sécurité de Flash Player, résident souvent sur la machine de l utilisateur et doivent absolument être protégées. Il est important de noter que Flash Player ne recueille aucune information sur l utilisateur. L utilisateur peut contrôler le comportement de Flash Player quant à la protection de ses informations. Le gestionnaire des paramètres de Flash Player permet à l utilisateur de contrôler les paramètres de sécurité suivants : Enregistrement local de données avec le mécanisme d objets partagés Accès aux caméras et aux microphones connectés au système Notification de disponibilité d une mise à jour pour Flash Player Dans un environnement d entreprise, les administrateurs réseau peuvent contrôler les paramètres de Flash Player à partir d un emplacement centralisé de façon à assurer l application globale des politiques de sécurité de l entreprise. Le client Flash Player fournit, en plus des fonctions de protection fondamentales fournies par l espace de sécurité et la machine virtuelle, des commandes simples d emploi permettant de contrôler l accès aux ressources telles que fichiers ou bases de données sur le réseau, à ceux qui possèdent ou gèrent ces ressources. Le modèle de sécurité de Flash Player est organisé de façon à permettre à l entreprise de déléguer le contrôle des permissions (Figure 4). Ce modèle prend également en charge les architectures distribuées communément utilisées pour les applications conçues sur la plate-forme Flash. Figure 4 : Les contrôles de sécurité de Flash Player sont organisés de façon hiérarchique. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 6

10 Code malveillant Chaque entreprise doit faire face au potentiel d infection par du code malveillant, avec une dissémination rapide sur son réseau. Par exemple, un utilisateur pourrait télécharger ce qui lui semble être un programme légitime mais qui contient en fait un cheval de Troie capable de mettre le réseau en danger. Du code visant à autoriser un accès distant au réseau pourrait également résider sans être remarqué dans des cookies ou des applets web. L approche d espace de sécurité : protection contre les activités et le code malveillants Comme nous l avons dit auparavant, l approche visant à utiliser un espace de sécurité du côté client et Java du côté serveur permet à la plate-forme Flash d utiliser les outils de sécurité résistant au code malveillant tels que virus, chevaux de Troie, vers et spyware. En outre, certaines caractéristiques de l architecture de Flash Player, qu on ne trouve pas dans des solutions basées sur ActiveX ou JavaScript, permettent de réduire les risques liés à du code malveillant. Toutes les ressources de Flash Player étant isolées du reste de l environnement, de même que des autres instances d espace de sécurité, le système hôte est protégé des activités malveillantes et des programmes ou contenus potentiellement dangereux. Un document des Chefs d état-major combinés (aux Etats-Unis) portant sur l utilisation des technologies de code mobile sur les systèmes informatiques du ministère de la Défense américain indique que Flash Player est placé dans la «catégorie 3», la plus sûre de trois catégories. Risques minimes d injection de code SQL et de cross-site scripting Les solutions qui utilisent des langages à base de chaînes tels que JavaScript et DHTML sont tout particulièrement vulnérables à l injection de code SQL et au cross-site scripting, des risques qui apparaissent tous les deux dans le top 10 des risques publié sur le site Open Web Application Security Project ( Les contenus Flash sont envoyés à Flash Player sous la forme d une série d instructions dans un format binaire, avec des protocoles web, dans le format de fichier SWF. Les fichiers SWF mêmes sont généralement hébergés sur le serveur avant d être téléchargés et affichés sur le client qui en fait la demande. Flash Player, un élément binaire et compilé, ne forme pas un risque aussi élevé que les solutions basées sur des langages avec chaînes, qui peuvent entraîner un risque pour les données côté serveur. Exemple de solution : Macromedia Breeze Les applications accèdent généralement aux bases de données par l intermédiaire de requêtes SQL produites de façon dynamique, car ces requêtes sont généralement faciles à implémenter et n obligent pas à une coordination étroite avec la base de données. La production dynamique de requêtes SQL capables de résister à l injection de code SQL reste difficile. En outre, les requêtes dynamiques requièrent souvent des permissions d accès relativement laxes aux objets des bases de données. Breeze utilise des requêtes préparées et des procédures stockées pour ses appels à la base de données. Les requêtes préparées fournissent une protection contre l injection de code SQL alors que les procédures stockées permettent de mieux verrouiller la base de données. L évaluation menée par Symantec Professional Services (citée plus haut) a permis de conclure que l implémentation de procédures stockées dans Breeze permet d empêcher les tentatives d altération des données avec une injection de code SQL et d autres attaques avec manipulation des données. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 7

11 Transport des données Le transport sécurisé des données entre les hôtes et les applications Flash et Flex est un élément critique de l intégrité des données et d une protection contre leur emploi malveillant. Respect de standards Flash Player et Flex utilisent des protocoles standard pour le transport des données. Flash Player est capable de déterminer si ses données ont été obtenues par l intermédiaire d une connexion HTTPS (HTTP over Secure Sockets Layer) sécurisée et les enregistre dans des espaces de sécurité distincts. Les données récupérées de sites HTTPS sont traitées de façon différente des données provenant de sites HTTP ou d autres sources moins sûres. La segmentation des données du côté client est une extension naturelle des modèles PKI les plus courants, qui utilisent des certificats x509 pour identifier les clients et les serveurs. Des standards de chiffrement tels que des certificats x509 sont utilisés par les navigateurs dans lesquels Flash Player fonctionne. Du côté serveur, ces standards sont implémentés par l environnement d hébergement. L emploi des standards XML et SOAP pour le transport des données permet à la gamme de produits Flex de profiter des avantages des technologies telles que HTTPS, qui est prise en charge pour toutes les opérations. Sécurité sur les réseaux sans fil Les réseaux en place dans l entreprise doivent accepter un nombre croissant de types de connexion pour leurs sous-traitants, leurs partenaires, leurs clients et le personnel travaillant à distance. Sans une sécurité efficace pour les connexions sans fil, les données en transit sont exposées à des risques d accès et de manipulation, et le réseau même devient vulnérable aux attaques à partir d appareils sans fil. L emploi d un chiffrement SSL et des fonctions de sécurité du système d exploitation permettent à Flash Player et à la gamme de produits Flex de réduire les risques d atteinte à la sécurité par les réseaux sans fil. Les applications Flash étant exécutées dans un navigateur, elles utilisent ce dernier pour pratiquement toutes leurs communications avec le serveur, et peuvent profiter de la prise en charge de la protection SSL fournie par le navigateur. De plus, les octets de l application Flash peuvent être chiffrés pendant leur chargement dans le navigateur. La lecture d une application Flash au sein d un navigateur supportant la technologie SSL via une connexion HTTPS avec le serveur permet à l entreprise et aux utilisateurs d assurer le chiffrement et la sécurité des communications entre Flash Player et le serveur. Facilité d intégration avec des équilibreurs de charge et des accélérateurs SSL L intégration avec des équilibreurs de charge et des accélérateurs SSL est très simple. Par exemple, le serveur de présentations Flex, qui gère les requêtes initialement reçues par un serveur web, n a pas besoin de connaître le protocole utilisé. Pour passer de HTTP à HTTPS, l administrateur du serveur doit simplement modifier le serveur web comme il l aurait fait si le serveur Flex n avait pas été installé. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 8

12 Pris en charge du tunneling chiffré Les applications conçues avec Flash Media Server utilisent le protocole RTMP (Real-time Messaging Protocol) pour la transmission du son, de la vidéo et des données sur un seul canal entre le client et le serveur. Alors que le protocole RTMP ne comprend pas de fonctions spécifiques à la sécurité, les applications Flash de communication peuvent effectuer des transactions sécurisées et l authentification par l intermédiaire d un serveur web avec SSL. Lorsque exécuté dans un navigateur, Flash Player peut utiliser le tunneling HTTPS avec chiffrement pour communiquer via RTMP. Cette prise en charge du tunneling permet à l utilisateur protégé par un pare-feu de profiter d une expérience fluide mais néanmoins protégée. Exemple de solution : service de diffusion de vidéo Flash Speedera Speedera, partenaire Macromedia, utilise Flash Media Server pour diffuser des contenus vidéo Flash avec SSL. L utilisateur qui se rend sur le site d un fournisseur de contenus est authentifié à l aide d un mot de passe. Une clé hash est alors créée avant le renvoi de l utilisateur vers le serveur Speedera après la vérification. La diffusion de contenus vidéo Flash sécurisés permet d assurer la lecture sur le site web prévu, les contenus ne pouvant pas être publiés sur d autres sites. En outre, l adresse URL de diffusion ne peut pas être envoyée à d autres utilisateurs qui n auraient pas l autorisation de l utiliser. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 9

13 Conclusion La plate-forme Flash permet à l entreprise de développer, de déployer et de distribuer des applications Internet évoluées, des applications mobiles et des applications de communication à leur personnel, leurs partenaires et leurs clients. Flash Player et la gamme de produits Flex utilisent l infrastructure de sécurité en place dans l entreprise, sont basés sur des standards acceptés et utilisent des technologies sûres. La plateforme Flash et la gamme de produits Flex, qui sont intégrées aux solutions existantes d authentification, de contrôle de l accès, de transport des données et de protection contre le code malveillant, n affectent en rien les conditions de sécurité dans l entreprise. Cette approche permet de respecter les meilleures pratiques de sécurité et des réglementations telles que le Sarbanes-Oxley Act de 2002 et HIPAA. La plate-forme Flash, qui utilise l infrastructure de sécurité en place dans l entreprise, permet de déployer avec succès des applications sécurisées sans investissements supplémentaires. Une évaluation indépendante réalisée a montré que Macromedia a développé un excellent modèle de protection des données contre les risques côté client. «L architecture [de Flex] réduit les risques les plus communs d attaque côté client tels que cross-site scripting, refus de service, injection de code SQL, man-in-the-middle et détournement de session.» En outre, la sécurité côté serveur est maintenue grâce à l emploi des fonctions de sécurité J2EE qui permettent de réduire les risques d attaques les plus communs tels que les dépassements de tampon, la corruption de piles et le cross-site scripting. Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 10

14 Pour plus d informations Pour plus d informations sur la plate-forme Flash, veuillez appeler un conseiller Macromedia au (Etats-Unis et Canada) ou contacter un des conseillers de l annuaire Pour acheter en ligne, consultez Ou suivez les liens suivants : Pour plus d informations sur la plate-forme Flash, consultez Pour plus d informations sur Flash Player, consultez Pour plus d informations sur l outil auteur Flash, consultez Pour plus d informations sur Flex Builder, consultez Pour plus d informations sur Flex Presentation Server, consultez Pour plus d informations sur Flash Media Server, consultez Pour plus d informations sur Flash Video Streaming Services, consultez Pour plus d informations sur Breeze, consultez Pour plus d informations sur Macromedia et la sécurité, consultez Références Defense in Depth: Information Assurance and Computer Network Defense (CJCSM ), Joint Chiefs of Staff, août 2004 ( Macromedia Breeze 5 Security Assessment, Symantec, juillet 2005 ( Macromedia Flash Player 8 Security, Macromedia, août 2005 ( Macromedia Flex Product août 2004 ( OWASP Top Ten Most Critical Web Application Security Vulnerabilities, The Open Web Application Security Project ( Policy Guidance for use of Mobile Code Technologies in Department of Defense (DoD) Information Systems Memorandum, U.S. Department of Defense, November 7, 2000 ( Sécurité de la plate-forme Macromedia Flash et des solutions Macromedia pour l entreprise 11