Bo,jour,
Dans le cadre d'un étude sur une application basée sur un serveur
raisin, un de mes clients utilise intensivement xslt. Cette application
doit permettre à des tiers de développer des xslt pour mettre en forme
les données extraites du système. La question que je me pose concerne la
sécurité : comment empécher un tiers d'utiliser, par exemple, la
fonction xslt document(), avec une URI pointant sur le file systeme
(file:///var/www/monapp/web.xml, par exemple) pour récupérer des données
qu'il ne devrait pas avoir le droit de récupérer.
Existe-t-il un moyen de faire tourner xalan dans un sandbox, ou de
surcharger son implémentation des I/O de façon à controller les choses ?
Tout idée, pointeur, littérature sur ce sujet est la bienvenue.
Stéphane.
--
Stéphane Bonhomme -- Exselt Services
Formations, Conseil et Réalisations en Ingénierie Documentaire,
Technologies Web et Logiciels Libres
s.bonhomme@wanadoo.fr - http://www.exselt.com
04 76 17 09 40 / 06 88 57 27 08
--
Devenez redacteur <XML>fr et contribuez au developpement du
xml francophone (http://xmlfr.org/infos/redacteurs/) !
Liste de diffusion "xml-tech@xmlfr.org" (http://xmlfr.org).
Cette liste est a votre disposition pour discuter en francais de
tout sujet technique lie a XML.
Pour resilier votre abonnement, envoyez un message contenant
la commande "unsubscribe" a xml-tech-request@xmlfr.org
(mailto:xml-tech-request@xmlfr.org?Subject=unsubscribe)
Received on Tue Feb 8 11:43:37 2005
