Cliquez ici.
Accueil
 chercher             Plan du site             Info (English version) 
L'histoire de XML s'écrit en ce moment même. XMLfr vous aide à la suivre et à en dégager les tendances.Les listes de discussions XMLfr sont à votre disposition pour réagir sur nos articles ou simplement poser une question.Si vous ètes passionnée(e) par XML, pourquoi ne pas en faire votre métier ?XMLfr n'est heureusement pas le seul site où l'on parle de XML. Découvrez les autres grâce à XMLfr et à l'ODP.Les partenaires grâce auxquels XMLfr peut se développer.Pour tout savoir sur XMLfr.XMLfr sans fil, c'est possible !Pour ceux qui veulent vraiment en savoir plus sur XML.L'index du site.
 Commentaires et questions non techniques.Commentaires et questions techniques.

 
Cliquez ici.

xml tech : Technologies XML

[xml-tech] Re: xslt et sécurité

[xml-tech] Re: xslt et sécurité

Auteur: Eric van der Vlist <vdv@dyomedea.com>
Date: 08/02/2005 - 11:53
X-Mailer: Evolution 2.0.2

Bonjour,

Le mardi 08 février 2005 à 11:43 +0100, Stephane Bonhomme a écrit :
> Bo,jour,
>
> Dans le cadre d'un étude sur une application basée sur un serveur
> raisin, un de mes clients utilise intensivement xslt. Cette application
> doit permettre à des tiers de développer des xslt pour mettre en forme
> les données extraites du système. La question que je me pose concerne la
> sécurité : comment empécher un tiers d'utiliser, par exemple, la
> fonction xslt document(), avec une URI pointant sur le file systeme
> (file:///var/www/monapp/web.xml, par exemple) pour récupérer des données
> qu'il ne devrait pas avoir le droit de récupérer.
>
> Existe-t-il un moyen de faire tourner xalan dans un sandbox, ou de
> surcharger son implémentation des I/O de façon à controller les choses ?

S'il ne s'agissant que de la fonction "document()", il suffirait
d'installer un "entity resolver" qui limite les documents auxquels on
peut avoir accès (cela ne concerne pas uniquement les fichiers présents
sur la machine, mais toute ressource accessible depuis le serveur y
compris celles qui peuvent l'être sur un intranet situé derrière le
firewall).

Il faut noter que les extensions du processeur utilisé sont également à
contrôler, celle qui permet d'écrire un document bien entendu mais
également celles qui permettent d'accéder à des classes Java.

>
> Tout idée, pointeur, littérature sur ce sujet est la bienvenue.

Il faut regarder la documentation du server utilisé, dans votre cas :
http://www.caucho.com/resin-3.0/security/securitymanager.xtp

Les contraintes que vous donnerez à ce niveau s'appliqueront également
aux transformations XSLT.

Cordialement,

Eric van der Vlist

>
> Stéphane. 

-- 
Carnet web :
           http://eric.van-der-vlist.com/blog?t=category&a=Fran%C3%A7ais
------------------------------------------------------------------------
Eric van der Vlist       http://xmlfr.org            http://dyomedea.com
(ISO) RELAX NG   ISBN:0-596-00421-4 http://oreilly.com/catalog/relax
(W3C) XML Schema ISBN:0-596-00252-1 http://oreilly.com/catalog/xmlschema
------------------------------------------------------------------------
--
Devenez redacteur <XML>fr et contribuez au developpement du
xml francophone (http://xmlfr.org/infos/redacteurs/) !
Liste de diffusion "xml-tech@xmlfr.org" (http://xmlfr.org).
Cette liste est a votre disposition pour discuter en francais de 
tout sujet technique lie a XML.
Pour resilier votre abonnement, envoyez un message contenant 
la commande "unsubscribe" a xml-tech-request@xmlfr.org
(mailto:xml-tech-request@xmlfr.org?Subject=unsubscribe)
Received on Tue Feb 8 12:53:25 2005
Archive générée par hypermail 2.1.8 le 28/02/2005 - 17:42 UTC

webmaster@xmlfr.org
 

xml tech

Discussions techniques au sujet de XML.

Cette liste est à votre disposition pour discuter en français de tout sujet technique lié à XML.



Devenez rédacteur <XML>fr et contribuez au développement du xml francophone !
Les documents publiés sur ce site le sont sous licence "Open Content"
Conception graphique
  l.henriot@online.fr  

Conception, réalisation et hébergement