ズーム、cors、およびWeb

皮肉なことに、最近の主要なズームの脆弱性は、アプリ自体ではなくWebテクノロジーに由来しています。これは、Webとネイティブのアプリコンポーネントを統合する複雑さを強調しています。

この問題は、カスタムプロトコル（ gittower://またはdropbox://など）と、特定のURLを処理するためにネイティブアプリを登録する方法を中心に展開します。アプリを直接起動するのに効果的ですが、ユーザーの選択は提供されません。この選択を提供するために、開発者は代わりに標準のURLを使用することがよくあります。

多くのアプリは、URLスキームを介して通信して、ユーザーのマシン上のローカルホストサーバーを使用して、Webページからネイティブアプリの相互作用を実現します。このアプローチは、賢いが、懸念を提起します：

• ユーザーは、実行中のローカルホストサーバーに気付いていない場合があります。
• LocalHostサーバーと通信する外部Webサイトの機能は邪魔になります。

ただし、主にCORS（クロスオリジンリソース共有）が存在します。 CORSは、不正なセキュリティ測定である不正なクロスドメインXHRリクエストを防ぎます。これは、ブラウザの同じオリジンポリシーの代替品ではなく、オリジンクロスアクセスを制御するメカニズムです。別のウェブサイトと通信しようとするWebサイトは、応答に要求ドメインを一致させるAccess-Control-Allow-Originヘッダーを含むか、ワイルドカード（*）を使用していない場合を除き、失敗します。重要なことに、この制限はすべてのリソースには適用されません。たとえば、画像は免除されます。

クリス・フォスターによると、CORSの誤解はズームの脆弱性の中心でした。 AJAXリクエストにCORSの制限をバイパスするために、Zoomは画像ベースの回避策を採用したと言われています。これにより、誤って大きな脆弱性が生じ、ウェブサイトがネイティブクライアント内のアクションをトリガーし、その応答にアクセスできます。

ニコラス・バイリーの記事「Corsについて知っておくべきこと」は、CORSの頻繁に誤解される性質を明確にしています。それはセキュリティ測定そのものではなく、主要なセキュリティメカニズムである同種の政策をバイパスする方法です。

以上がズーム、cors、およびWebの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。