Bonsoir,

Le 24 janvier 2011 14:18, Pierre-Henry Muller <wallace@morkitu.org> a écrit :
Salut,

Lorsque tu dis malveillant tu parles d'exploit sur le poste du visiteur type XSS ou tu penses plutôt
à une chaine capable de faire un buffer overflow ou autre visant explicitement le logiciel qui récupère le rss?

La crainte de mon RSSI, c'est la compromission du serveur vu que c'est le serveur qui agit comme client pour récupérer les flux RSS et autres widgets.

Ce qui me surprend, c'est que si la récupération se faisait au niveau du client, il n'est pas contre, alors que si c'est le serveur, il hurle.

Le produit est une solution commerciale (Jive SBS). J'ai questionné l'éditeur sur le sujet et leur réponse ne va pas loin.

Il aurait pu exister une sorte de référentiel des attaques XSS / CSRF / ... pour notamment des flux RSS dans mon cas et qu'on puisse les soumettre à une appli pour voir le résultat. Un peu comme les éditeurs d'antivirus qui proposent des faux virus pour tester le niveau de détection de l'antivirus.

Sans nier le risque potentiel, va falloir que je la joue fine avec mon grmbl de RSSI ; surtout que déjà, pour accéder à internet, il faut passer par un proxy filtrant mais il ne veut pas donner un accès en * pour les frontaux de mon application.

Merci pour vos commentaires,
Nicolas
--
Nicolas Steinmetz
http://www.steinmetz.fr - http://nicolas.steinmetz.fr/