AIR ベータ 2 関連でセキュリティの話題を 2 つご紹介します。
まず、先週 AIR のインストールバッジの更新版が公開されました。(air_b2_badge_100907.zip : 50.5KB) これはベータ 2 SDK に含まれるバッジのアップデート版になります。今までのバッジにクロスサイトスクリプティングに対する脆弱性が発見されたため緊急に対応が行われました。現在インストールバッジを利用している場合には、なるべく早く更新することをお勧めします。
次は、HTML セキュリティモデル変更の件です。最近よく言及されるようになった eval(), JSON, innerHTML 等の使用を対象とした攻撃に対応するため、ベータ 2 から HTML アプリケーションの実行環境として 2 種類のサンドボックスが用意されています。
1 つ目のサンドボックスはアプリケーションサンドボックスと呼ばれ、AIR の提供する機能に自由にアクセスできますが、外部からのスクリプト読み込みや eval() の使用等が不可になっています。2 つ目のサンドボックスはクラシックサンドボックスと呼ばれ、こちらでは通常の HTML ブラウザと同等の機能が提供されますが、AIR の API を呼び出すことはできません。
ベータ 2 での標準のサンドボックスはアプリケーションサンドボックスになります。そのため、ほとんどの AJAX フレームワークに対して、それらを使用したアプリケーションがそのままでは動作しなくなることが予想されます。
このような場合には、まずクラシックサンドボックスに HTML アプリケーションを記述します。次に、AIR の機能を使用している箇所をアプリケーションサンドボックス側に移します。そのあと、クラシックサンドボックスからアプリケーションサンドボックスの処理を呼び出すための処理を追加します。SandboxBridge という機能を利用すると、クラシックサンドボックスとアプリケーションサンドボックスを連携させることが可能です。
クラシックサンドボックスの指定方法や SandboxBridge の API の具体的な使い方ついては、簡単なサンプルが公開されていますのでそちらをご参照ください。(air_htmlsecurity_sample_100107.zip : 64.7KB) また、AIR Developer Center に (英文ですが) 関連する記事もありますのでそちらもご覧いただければと思います。(Building an expense tracker on the new Adobe AIR HTML security model)
最後に、新しい HTML セキュリティモデルのホワイトペーパーが公開されています。まだドラフトですので今後更新が行われていくものですが、いくつか参考になる情報が書かれていますのでご紹介しておきますね。(air_htmlsecurity.pdf : 180KB)
どこに連絡するか迷ったのですが、
上条さんにご連絡するのが良策と思い、コメントをさせていただきます。
記事に対するコメントとしては趣旨がずれてしまいますこと、お許しください。
本題ですが、
Version8/ActionScript2.0で制作したswfファイルを読み込むAIRアプリを作りました。
そして、読み込まれたswfオブジェクト(MovieClip)を右クリックすると
AIRアプリが落ちる現象を確認しています。
もし間違った使い方ということであれば、仕様として諦めるのですが、
不具合ということだったらと思い、ご連絡した次第です。
お目を通していただけましたら、幸いです。
idiotica さん、こんにちは。
AIR お使いいただきありがとうございます。
フォーラムによると、ご報告いただいた件は既知の問題とのことですので、製品版がリリースされるまでには対応されるかと思います。
http://www.adobe.com/cfusion/webforums/forum/messageview.cfm?forumid=72&catid=641&threadid=1306506