@AEP22 фев 2013 в 18:20

Как сделать бомбу из XML

5 мин

44K

XML * Информационная безопасность *

+75

Комментарии 10

@endenis 22 фев 2013 в 18:27

Мне казалось, что W3C уже давно отказались от DTD в пользу XML Schema.

@AEP 22 фев 2013 в 18:34

Согласен, валидация по схеме не имеет перечисленных недостатков, т.к. схема не является частью самого XML-документа. Но мало ли — вдруг хакер решит проверить, не забыли ли вы отключить валидацию входящих документов по DTD.

@Weageoo 22 фев 2013 в 19:17

Я вообще только XML Schema использовал, про DTD даже не слышал.

@pro100tak 22 фев 2013 в 23:07

Мда, разница в возрасте в 4 года, а какая пропасть…

@Weageoo 23 фев 2013 в 06:41

Да просто кратер, гигантский и невосполнимый! Как теперь мне жить с этим…

@Alukardd 23 фев 2013 в 18:51

Я не знаю что там у Вас в Минске, но в Питере, почти все универские лабы до сих пор живут на DTD.

@s0rr0w 22 фев 2013 в 19:29

Они отказались от DTD в HTML, и не в пользу XML Schema, а просто отказались. Им было лень писать DTD, который, по моему мнению, несколько более читабельный, чем схема, особенно что касается наследования элементов.

@odiszapc 23 фев 2013 в 12:46

Nokogiri и подобные либы, этому подвержены?

@AEP 23 фев 2013 в 13:06

Не знаю, предлагаю проверить самостоятельно, пользуясь примерами из поста.

@AEP 23 фев 2013 в 13:13

Посмотрел доку тут: nokogiri.org/Nokogiri/XML/ParseOptions.html — на вид это обычный binding к libxml2. Т.е. при включенной опции NOENT и выключенной опции NONET все бомбы, кроме первой, должны сработать. После обновления до версии libxml2 из git может перестать работать вторая бомба.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий