Bonsoir,<br><br><div class="gmail_quote">Le 24 janvier 2011 14:18, Pierre-Henry Muller <span dir="ltr">&lt;<a href="mailto:wallace@morkitu.org">wallace@morkitu.org</a>&gt;</span> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Salut,<br>
<br>
Lorsque tu dis malveillant tu parles d&#39;exploit sur le poste du visiteur type XSS ou tu penses plutôt<br>
à une chaine capable de faire un buffer overflow ou autre visant explicitement le logiciel qui récupère le rss?<br></blockquote><div><br></div><div>La crainte de mon RSSI, c&#39;est la compromission du serveur vu que c&#39;est le serveur qui agit comme client pour récupérer les flux RSS et autres widgets.</div>
<div><br></div><div>Ce qui me surprend, c&#39;est que si la récupération se faisait au niveau du client, il n&#39;est pas contre, alors que si c&#39;est le serveur, il hurle.</div><div></div></div><div><br></div>Le produit est une solution commerciale (Jive SBS). J&#39;ai questionné l&#39;éditeur sur le sujet et leur réponse ne va pas loin.<div>
<br></div><div>Il aurait pu exister une sorte de référentiel des attaques XSS / CSRF / ... pour notamment des flux RSS dans mon cas et qu&#39;on puisse les soumettre à une appli pour voir le résultat. Un peu comme les éditeurs d&#39;antivirus qui proposent des faux virus pour tester le niveau de détection de l&#39;antivirus.</div>
<div><br></div><div>Sans nier le risque potentiel, va falloir que je la joue fine avec mon grmbl de RSSI ; surtout que déjà, pour accéder à internet, il faut passer par un proxy filtrant mais il ne veut pas donner un accès en * pour les frontaux de mon application.<br clear="all">
<br><div>Merci pour vos commentaires,</div><div>Nicolas<br>-- <br>Nicolas Steinmetz<br><a href="http://www.steinmetz.fr">http://www.steinmetz.fr</a> - <a href="http://nicolas.steinmetz.fr/">http://nicolas.steinmetz.fr/</a><br>

</div></div>