From: Cyril Jandia (cjandia@logfi.fr)
Date: 20/06/2002 - 12:40
> De : Jean-Claude SIMON
> À : xml-tech@xmlfr.org
> Objet : [xml-tech] Re: [Fwd: Ann: Xml Validation Interoperability
> Framework (xvif)]
>
> [...]>>Avec ce qui se passe aujourd'hui avec ce standard cela me fait me poser
> >>une question :
> >>Est-il possible de faire un virus avec XML ou XSLT ?
> >
> > Qu'entendez-vous par "ce qui se passe aujourd'hui avec ce standard" ?
>
> "Le « bug du siècle » menace les télécoms."
> http://www.reseaux-telecoms.net/news_btree/02_06_14_112137_721/News_view
Merci pour l'info : édifiant, en effet...
> [...]Par exemple, on peut faire exécuter un script à l'ouverture d'un mail par
> Outlook et d'autres lecteurs de mails.
> On peut lancer une application comme Access ou par exemple Internet
> Explorer ;-)))
Quand ce n'est pas -encore plus simple- via une invitation/incitation directe à
suivre un lien... Par exemple "et si on jetait un coup d'oeil à ce que Amazon
nous propose sur XML ?" :
http://www.amazon.com:cool-XML-books@64.176.134.219/2002/misc
(démo, déjà postée sur cette liste, d'une "Social Engineering / URL Semantics
attack" comme on dit dans le jargon...)
> De là, avec une feuille XSLT, faire des transformations sur des documents
> XML non désirées.
> Virus = Script + Feuille XSLT + (parseurs XSLT sur la machine).
> Il y a bien sur le problème des noms et localisation des fichiers mais ....
Pour info, il y a eu un échange récent, si ça vous intéresse, sur XML-DEV,
relativement à votre idée; le fil a commencé avec ce message à propos de
"Malicious (XML) documents" faisant un usage bien particulier de ce cher,
apparemment innocent... "<!DOCTYPE...>" (!) :
http://lists.xml.org/archives/xml-dev/200206/msg00240.html
> [...]Cela me semble être du même ordre que pour le format JPEG
> "Les images JPeg peuvent cacher un nouveau virus mutant"
> http://techupdate.zdnet.fr/story/0,,t384-s2111886,00.html
Intéressant...
Pour info à nouveau, n'oublions pas qu'il existe depuis peu "au moins un"
excellent magazine francophone sur la sécurité, tous systèmes confondus, pour
approcher le sujet et nous sensibiliser à "notre tenue à jour" nécessaire : le
[MISC Mag.]
(un des derniers numéros traite justement, entre autres sujets passionnants,
d'une faille de sécurité impliquant... devinez quoi : XML + la technologie M$
ActiveX + M$ IE ... comme par hasard ;=) (et mon smiley est décidément de trop
cette fois...)
> Salutations
>
> Jean-Claude SIMON
[MISC Mag.]
http://www.linuxmag-france.org/indexmisc.php
Cordialement,
--CJ
--
Devenez redacteur <XML>fr et contribuez au developpement du
xml francophone (http://xmlfr.org/infos/redacteurs/) !
Liste de diffusion "xml-tech@xmlfr.org" (http://xmlfr.org).
Cette liste est a votre disposition pour discuter en francais de
tout sujet technique lie a XML.
Pour resilier votre abonnement, envoyez un message contenant
la commande "unsubscribe" a xml-tech-request@xmlfr.org
(mailto:xml-tech-request@xmlfr.org?Subject=unsubscribe)
Archive générée par hypermail 2.1.3 le 28/06/2004 - 11:06 UTC
webmaster@xmlfr.org
| 
