Re:DTD の必要性 (#1092606) | NetscapeがRSS0.91のDTDファイルを削除してしまう

「NetscapeがRSS0.91のDTDファイルを削除してしまう」記事へのコメント

記事ページを表示すべてのコメント取得

検索22コメント Log In/Create an Account

DTD の必要性 (スコア:2, 参考になる)

by Anonymous Coward

> RSSの構造をDTDを参照して調べるようなRSSリーダには不具合が出るかもしれない

細かな話ですが。

http://slashdot.org/comments.pl?sid=216818&cid=17602710 に書いてあるように、DTD では実態参照の定義も行われます。換言すると、XML 内のテキスト要素を扱うだけであっても DTD の知識が必要です。
なので、今回の話は、汎用性のあるまともな XML パーサを使っている RSS リーダー全般で起こりうる問題だと思います。
- Re:DTD の必要性 (スコア:1)
  
  by yoshidam (2385)
  
  インターネット経由での外部解析対象実体の取り込みは，
  セキュリティホールになりうるので，避けたほうがいいと思われます。
  
  DTDを必要とする場合はアプリケーション内部に持つべきでしょう。
  - Re:DTD の必要性 (スコア:0)
    
    by Anonymous Coward on 2007年01月16日 16時30分 (#1092606)
    
    > インターネット経由での外部解析対象実体の取り込みは，
    > セキュリティホールになりうるので，避けたほうがいいと思われます。
    
    どのような場合にセキュリティ上の問題が発生するのでしょうか？
    
    ふつうに開発している限りにおいては、XML パーサが実体参照を解決した後にアプリケーション側で取り扱うことになるでしょうから、なんら問題はないように思えます。
    ＃それとも、何か別の話？
    
    シェア
    
    親コメント
    - Re:DTD の必要性 (スコア:1)
      
      by yoshidam (2385) on 2007年01月16日 17時56分 (#1092651) 日記
      
      XXE (Xml eXternal Entity) Attack と呼ばれるようです。
      
      http://www.securiteam.com/securitynews/6D0100A5PU.html [securiteam.com]
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

NetscapeがRSS0.91のDTDファイルを削除してしまう More ログイン

「NetscapeがRSS0.91のDTDファイルを削除してしまう」記事へのコメント

DTD の必要性 (スコア:2, 参考になる)

Re:DTD の必要性 (スコア:1)

Re:DTD の必要性 (スコア:0)

Re:DTD の必要性 (スコア:1)

スラド