web-dev-qa-db-ja.com

サービスjoin.meは実際には大きなセキュリティリスクですか?

わからない場合は、join.meというWebサイトがあり、Webページにあるフラッシュプログラムを使用して、ブラウザから画面を共有できます。

このサービスに出会うまで、Webカメラを使用するような単純なタスクとは対照的に、Flashが画面の読み取りを実行できることを知りませんでした。しかし、それが可能であれば、キーストロークを記録したり、誰かの閲覧のためにセッションからのすべてのデータを保存したりすることもできませんか?

Webサイトを信頼して会社のコンピュータの画面にビューポートを提供するとしたら、誰がセッションの詳細を共有しないと言うでしょうか?フラッシュの性質を考えると、ブラウザウィンドウを閉じただけでセッションが本当に閉じられたと言うのは誰ですか?

9
Kerbie

そのサイトの「画面を見る」という側面は純粋なフラッシュですが、画面共有コンポーネントはそうではありません。画面を共有しようとすると、インストールする実行可能ファイルがダウンロードされます。 Windowsでは.exe、Macでは.pkg。

ですから、そうです。これは、あなたが言及したすべてのデータなどを盗む機能を備えた外部バイナリです。しかし、共有はフラッシュを使用していないので、ブラウザーの外部のデータへのアクセスに対するあなたの恐れは(ありがたいことに)事実ではありません。

6
Shane Madden

Join.Meの背後にあるコードを監査すると、キーストロークなどのものが記録されているかどうかについて、より深い洞察を得ることができます。監査を行ったり、誰かにコードを見てもらいたりする可能性は、Join.Meを担当した開発者次第です。

しかし、これが私の答えです。十分な時間とリソース/労力が与えられれば、どのシステムも侵害/ハッキングされる可能性があります。そのようなハッキングの可能性は、どのサービスまたはベンダーを使用するかを検討する際に考慮しなければならないことです。

常にリスクが伴います。それは、リスクに対処するために実施している他の緩和要因の数に関するものであり、それを受け入れて製品/ソフトウェアを使用するかしないかです。

1
Brad Bouchard