问题标签 [fluorinefx]

我有一个 C# Web 服务，它目前使用 XML 与 Flex 应用程序通信。它不是流数据或任何东西，但我仍然想降低所涉及的开销。我有两个问题：

1) 在减少服务器负载方面，我会看到使用 FluorineFX 或 WebORB 等技术有什么好处吗？我想，Flex 客户不会感觉到太大的不同。

2) 将这样的技术改造到现有产品中有多容易？从头开始会更容易吗？

提前致谢。

我们发现作为服务器后端的 ASP.Net 和作为用户界面的 Adob​​e Flash 的结合是完美的结合。

到目前为止，我们一直使用 Javascript 作为这两种技术之间的通信管道。这工作得很好，但是我们希望能够来回传递对象，而不仅仅是字符串变量，我们还希望有更好的性能。

您可以使用多种方法进行交流：

• Javascript
• Web 服务（在 MX 中正确支持，在 CS3 中不支持，对 CS4 不确定）
• 闪存远程处理
• 其他的？

我的研究表明，Flash Remoting 是表现最好的。

在服务器上，您需要提供远程网关（Flash Remoting（999 美元）、FluorineFx、WebORB、AMF.Net）。

从客户端使用远程处理的最佳方式是什么？

问题在于 Flash 远程处理库似乎不是很好或得到很好的支持。他们在 MX 中，而不是在 CS3 中，还不确定 CS4。

Flex 显然具有出色的远程处理支持，但是我们喜欢在 Flash 中制作自由形式 UI 的能力，而不仅限于 Flex 控件。我已经看到了在 flex 中嵌入 flash swf 的建议——但我不愿意引入另一层。我没有广泛使用 Flex，所以我可能在这里遗漏了一些东西。

有没有人在这方面有任何经验？我应该尝试将我的 swf 嵌入到 flex 中吗？或者 CS4 是否提供足够好的远程处理支持？

谢谢。

鲍比 - 这是个好主意。JSON 可能会解决问题。

悬崖.meyers - 我们已经在服务器上使用了氟。问题在于在客户端上使用 Flash（不是 Flex）（见上文），并且 Flash 缺乏对远程处理的良好支持。

我有一个使用 Fluorine FX 远程处理库的 ASP.NET 应用程序。当 Web 应用程序初始化时，它会在一个单独的端口上启动一个套接字服务器来处理 RTMP 连接。

我们遇到的问题是，当重新启动 IIS 时，RTMP 服务将不会开始运行，直到针对应用程序中的一个 .aspx 文件发出第一个 HTTP 请求。

我一直在阅读有关 ASP.NET 生命周期以及它如何与 IIS 相关联的信息，请参阅本文：

http://msdn.microsoft.com/en-us/library/ms178473.aspx

似乎生命周期都基于它由第一个 HTTP 请求初始化的假设......

有谁知道当 IIS 重新启动时我是否有某种钩子，以便我可以强制初始化 Fluorine 及其 RTMP 服务器？

我正在尝试使用 FluorineFX 在 Flex/.Net 中创建一个非常简单的聊天应用程序，但无法使其正常工作。

我的服务-config.xml：

它编译一切正常，当我尝试发送时，我没有收到任何错误，但也没有结果。没有收到消息。我在正确的道路上吗？端点 uri 背后的逻辑是什么？我应该使用什么端口？我应该配置 Web.config 吗？（除了启用RemotingService 的flourinefx 配置之外？）我在flourine.log 中没有得到任何响应。

我正在使用 Flash/Flex 为客户端和 FluorineFX（就像 FCS/FMS，除了它是用 .NET 编写的）在服务器端构建一个多人游戏。我的问题是关于 RTMP 协议上共享对象的使用和性能。

本质上，我计划同时在屏幕上显示相当多的对象，每个对象都有自己的坐标、行为、视觉效果等。连接到同一个房间的所有用户都将能够看到这些对象并与之交互。

使用包含游戏世界中所有对象的单个数组共享对象可以非常容易地非常快速地在所有客户端之间同步所有对象，但它似乎可能会导致性能沉重，并且我会失去灵活性涉及到每个单独对象的安全性。

或者，在游戏世界中为每个对象使用不同的共享对象会给我很大的灵活性，让我可以根据位置获得哪些对象（以最小化网络性能），但我担心大量具有唯一性的共享对象我最终会得到的名称，并且必须让客户端在它们四处移动时不断地连接/断开连接到不同的共享对象。

在 RTMP 方面，我不是专家，但我对处理此问题的每种方法的优缺点有所了解，并且我意识到我可以根据情况在技术上混合使用这两个概念，但我'我真的在寻找有使用远程共享对象经验的人，我可以从中收集一些知识。

有人愿意分享他们在这个话题上的经验吗？

我创建了一个控制台应用程序，它应该每小时运行一次，以便使用 FluorineFx for C# 客户端 (NetConnection) 将更新推送到不同的服务器。它工作得很好，但只有当我打开 Charles 并且我可以看到正在发送的内容时。另一方面，如果 Charles 已关闭，则不会发送数据。

谢谢。

有没有人使用 Fluorinefx 设置错误电子邮件？

更新：在 log4net 中使用 SmtpAppender 找到了答案

我正在尝试创建一个将连接到 FluorineFx RTMP 服务的 .NET 消费者客户端。创建 Flex 消费者客户端非常容易，我希望在 .NET 中创建相同的客户端

（换句话说，如何将 MessageAdapter 连接到 MessageAdapter？）

非常感谢，

嘟嘟

我们有一个 FluorineFx / ASP.Net 应用程序，它使用表单身份验证来识别当前用户。要在 FluorineFx 中使用这些凭据，我们使用FluorineContext.Current.User.Identity. 当我第一次登录时，当前上下文巧妙地反映了正确的身份。

当我注销时，我执行 aFormsAuthentication.SignOut()和 aSession.Abandon以使用户凭据和会话无效。但是当我以另一个用户身份再次登录时，FluorineContext.Current.User.Identity包含前一个用户的凭据，而 ASP.Net 应用程序具有正确的用户凭据。当我重建我的应用程序时，FluorineFx 凭据被重置以再次反映正确的凭据。

有没有人对此有解释，和/或如何解决这个问题？

我刚刚代表 SFDC 接受了德勤的安全审计。基本上我们使用 flex 并通过 AMF 进行通信。我们为此使用 FluorineFX（与 LCDS 和 Blaze 不同）。我们被告知，因为 AMF 响应没有编码，并且有人可以操纵 AMF 参数并插入 Javascript，这是一个 XSS 漏洞。我正在努力理解 AMF 响应如何返回，它可以在错误消息中回显传入的 JS，可以由浏览器或其他任何东西执行。我对带有 HTML 和 JS 的 XSS 非常有经验，但是看到它被标记为 AMF 有点令人惊讶。我与 FluorineFx 团队保持联系，他们也很困惑。

看到 AMF 库对响应数据进行编码，我会感到惊讶，而 Fluorine 肯定不会。尽管像 PortSwigger 和 IBM AppScan 这样的安全应用程序似乎在他们的工具箱中包含了这种类型的测试。您是否在 AMF 中遇到过这个漏洞，您能解释一下 XSS 问题是如何表现出来的吗？只是好奇。如果存在争论，我需要争论我的出路，或者修补漏洞。鉴于 Flex 的 AMF 用法，我认为您可能会有一些见解。

附加信息 ...

因此，请从实际供应商 PortSwigger 那里获得更多信息。我向他们提出了这个问题，net，net，他们承认这种类型的攻击非常复杂。最初他们将此归类为高严重性安全问题，但我认为他们现在正在改变。我想我会为大家发布他们的回复内容，因为我认为这个观点仍然很有趣。

--- 来自 PortSwigger 的问题 ---

感谢您的留言。我认为答案是这可能是一个漏洞，但利用起来并非易事。

你是对的，当 AMF 客户端使用响应时不会出现问题（除非它做了一些愚蠢的事情），而是如果攻击者可以设计一个浏览器使用响应的情况。大多数浏览器会忽略 HTTP Content-Type 标头，并会查看实际的响应内容，如果它看起来完全像 HTML 一样会很高兴地处理它。从历史上看，存在许多攻击，人们将 HTML/JS 内容嵌入其他响应格式（XML、图像、其他应用程序内容）中，并由浏览器执行。

所以问题不在于响应的格式，而在于生成它所需的请求格式。攻击者设计包含有效 AMF 消息的跨域请求并非易事。包含类似 XSS 行为的 XML 请求/响应也会出现类似的情况。创建一个被浏览器视为 HTML 的有效 XML 响应当然是可能的，但挑战在于如何在 HTTP 正文跨域中发送原始 XML。这不能使用标准的 HTML 表单来完成，因此攻击者需要找到另一种客户端技术或浏览器怪癖来执行此操作。从历史上看，这样的事情在不同的时间都是可能的，直到它们被浏览器/插件供应商修复。我目前不知道有什么可以允许的。

简而言之，这是一种理论上的攻击，根据您的风险状况，您可以完全忽略或阻止使用服务器端输入验证，或者通过在服务器上编码输出并在客户端再次解码。

我确实认为 Burp 应该将 AMF 请求格式标记为缓解此问题，并将影响降级为低 - 我会解决这个问题。

希望有帮助。

干杯 PortSwigger

--- 更多关于审计的信息 ---

portSwigger 所做的不一定是二进制有效负载，它们所做的是与发布到处理程序以引导请求的实际 AMF 参数混淆。例如，这里是审计的一个片段，它显示了 AMF 对请求的响应的一部分......

注意那里的“警报”脚本......他们所做的是将一些包含JS的脚本附加到传递的包含调用方法的参数之一，即“com.Analytics.ca.Services.XXX”。通过这样做，JS 会返回一条错误消息，但是要让 JS 接近执行，必须发生很多事情。充其量似乎是间接威胁。

-- 安全审计师的最新观点 --

我已经与更大的团队进行了讨论，我们都认为这是一次有效的攻击。正如 PortSwigger 在他的第一段中提到的那样，虽然理论上由于您将内容类型设置为 x-amf，并且希望它不会在浏览器中呈现，但大多数浏览器都会忽略此请求并无论如何都会呈现它。我认为供应商在很大程度上依赖于设置内容类型这一事实。然而，像 IE 和某些版本的 Safari 等流行浏览器会忽略这一点。

利用 CSRF 或任何其他形式的 XSS 攻击很容易触发攻击。