Discussion :

[csolus]

Bonjour,

Je developpe une application qui affiche du HTML produit par d'autres utilisateurs. Malheureusement certains s'amusent a introduire des bombes xml sous forme d'image svg, inclues dans le html (exemple: "Billion Laughs bomb" [@admins: Merci de ne pas effacer ca, meme si c'est de l'anglais, c'est important pour la comprehension du post])

Comment puis-je empecher Qt d'interpreter du svg, tout en gardant la possibilite d'afficher d'autres types d'images, url, etc ?

Pour l'instant, la methode la plus efface--mais certes peu elegante--est de faire:

$> chmod 0 /usr/lib/x86_64-linux-gnu/qt4/plugins/imageformats/libqsvg.so

- comment puis-je empecher Qt de charger le plugin qui fournit la lecture svg au demarrage de mon application ?
- comment puis-je forcer Qt a utiliser mon propre XmlReader qui ne fera pas de resolution des "Entity" sur lesquels sont basees les bombes ?

Merci d'avance pour toute aide
CS

[koala01]

Salut,

De manière générale, même si tu désactives l'affichage des svg, cela ne donneras qu'un bref répis car ce genre d'attaque est aussi bien utilisable avec n'importe quel fichier pris en charge par le parser XML.

Au final, tu vas empêcher les utilisateur d'accéder aux svg, dont la plupart sont malgré tout tout à fait honnêtes, mais cela n'empêchera absolument rien

Et donc, si tu commences dans ce gout là, bah, tu finiras très vite par vouloir désactiver le parser XML, alors, non vu que c'est lui qui est la cible principale

Et, si tu en arrives à cette extrémité, bah, tant qu'à faire, tu interdit HTML5 et tout ce qui s'en suit... Et quoi... tu fais retomber tes clients à l'age de pierre

Par contre, tant que c'est du fichier texte, il te reste une chance de l'interpréter, entre le moment où le fichier arrive d'internet et celui où tu l'envoies au parser.

Tu n'est pas obligé d'utiliser le parser XML pour te rendre compte que tu as dix balises d'entités (ou plus, ou moins) qui définissent des entités dont la définition correspond, justement, au nom de l'entité définie juste avant : une simple boucle et peut etre une ou deux expression régulière feront l'affaire .

Bon, je n'ai pas vraiment réfléchis au problème, mais je suis sur que cela ne devrais pas prendre plus d'un quard d'heure pour code un algorithme qui aura de bonnes chances d'en arrêter la majeur partie

[chrtophe]

Si tu reçois un fichier, est-ce que les SVG pèsent dans le fichier ? Si c'est le cas, il est possible simplement de limiter la taille des fichiers.