関連
Flashがコンテンツ投稿サイトを危険にさらす? セキュリティ企業が指摘 - ITmedia News
現時点で解決策は存在せず、Foregroundによれば、Adobeは「この問題を解決しようとすれば、Webの至る所にある既存の正規コンテンツまで壊してしまうことになり、簡単には解決できない」とコメントしているという。
ユーザーが攻撃に遭うのを防ぐ手段としてForegroundは、Firefoxの場合はスクリプトの実行を防ぐプラグイン「NoScript」の利用を奨励、Internet Explorer(IE)の場合は「Toggle Flash」というアプリケーションを使えばFlashを有効にするか無効にするかを設定できると解説している。
Firefox で NoScript 使っていたところで、たとえばyoutubeならyoutube.comとytimg.com、nicovideoならnicovideo.jpとnimg.jpを動画を見るために一時的に許可するから、許可したサイトそのものが危険ってことだったら意味ないような希瓦斯。そもそも使い慣れていないと、かなりうろたえるし。
当面はセキュリティ対策ソフト頼みってことなのかなぁ。
追記
Nohab wrote
VM wrote: ""What's interesting is that YouTube uses flash to deliver it's content. Watching that video could have been the thing that crashed you system just now.""
Flash Origin Policy Issues - FOREGROUND SECURITY Cmments
No. Why not? Simple, the SWF has been created by YouTube, the user uploaded content is only the Video file, that is loaded by this SWF. And exact that is the filter, that protects the viewer here, as every uploaded video goes through a reencoding/compression process on the YouTube-server. That reencoding/compression process kills anything executable inside the uploaded video, the worst thing, that could happen is a unusable, unviewable video.
動画投稿サイトではユーザはVideo fileをアップロードして、サイト側がSWFを生成しているんだから危険はないよとのコメントなので、オラの感想は削除しますた。
Flash content and the same-origin policy - Adobe Secure Software Engineering Team