banana 的部落格

XML Security III

XML Security III

XML類型病毒木馬簡易整理和介紹

XMLid.Exploit(Jul,2003)

為一Browser Helper Object(BHO)木馬,感染後依附於瀏覽器,可能是透過注入process方式,在process manager可能只會看到瀏覽器process。會造成IE瀏覽器的效能低下,並登錄項目"HKEY_CLASSES_ROOT\clsid\{11111111-1111-1111-1111-11111111111}"來自我啟動。

Ortyc.Trojan(Oct,2002)

利用電子賀卡誘騙使用者安裝檔案,並下載E-card.cab檔案後安裝Sec.dll(同為BHO型)且註冊於註冊表,感染後會彈出色情廣告窗口。

DynHTML.Exploit(Mar,2002)

此為XMLid.Exploit的變種版本,更改了攻擊方式,並執行檔中存有動態HTML的instruction。
微軟為此發布了Security Patch: http://www.microsoft.com/japan/technet/security/bulletin/ms02-015.asp

當XML成為資料交換的主流後,相關的安全問題必定接踵而來,惡意的攻擊者勢必將病毒木馬的媒介放到這個焦點上。

Reference:

http://ca.com/tw/securityadvisor/pest/pest.aspx?id=453075076
http://it.rising.com.cn/antivirus/net_virus/200210/Ortyc.Trojan.htm
http://www.dll-dl.com/virus/dynhtmlexploit.htm

XML Security II

XML Security II

WSC提供了XML簽名和XML加密來保護XML檔案安全。並可透過類似SSL協定的加密層來進行傳輸。

但此方法只能保護特定區域,故W3C為數位簽名和加密法建立了標準,而以下為套用此兩標準的工具。

Apache Security

Xalan、Xerces計畫是用Java所開發的XML處理套件,除此之外尚有用於SOAP、XSL、SVG及XML安全的工具,像Apache-XML-Security-J是提供W3C的XML加密標準的Java處理套件。

IBM XML Security Suite

除可進行認證和數據加密外,有一認證層用來做XML的訪問控制,唯有授權用戶才可訪問。

XML Security Library

此為基於libxml、libxslt、OpenSSL和XMLSec庫所設計且支持如DES、AES等加密法,適合C語言開發者,並有開放原始碼。

以上三者為免費的安全工具,另有商業產品,如KeyTools、JCSI等。

 


Reference:

http://www.duba.net/c/2002/12/30/54130.shtml

[轉載] 微軟促使開放XML獲得國際標準認証的努力恐被抗議推遲

微軟促使開放XML獲得國際標準認証的努力恐被抗議推遲

由於南非的Bureau of Standards向國際標准化組織(International Organization for Standardization, 簡稱﹕ISO)遞交了一份措辭嚴厲的抗議書﹐微軟(Microsoft Corp., MSFT)研發的文檔格式技術獲得最終國際標準認証的時間恐怕會被推遲。

就在幾週之前﹐微軟的開放可延展標識語言(XML)文檔格式技術才剛剛通過了一次國際性投票﹐被核准成為了一項行業標準。為該項標準贏得認証對微軟來說至關重要﹐因為該公司希望能夠維持其在向全世界各地政府組織提供軟體方面的業務優勢。而這些政府組織通常都規定必須使用合乎開放標準的技術。

除此之外﹐微軟也希望藉此來保護其價值可觀的Office軟體特許業務﹐因為隨著越來越多的文檔格式能夠在該公司競爭對手開發的產品上運行﹐並且運行品質同等可靠甚至更好﹐該公司的Office軟體業務難免將受到這些競爭產品的威脅。

但Gesmer Updegrove LLP駐波士頓的律師Andrew Updegrov稱﹐南非當局提交的抗議書目前已經使開放XML的標準化程序陷入停頓﹐並且一直要等到抗議問題被解決之後才能恢復。Updegrove一直在密切關注該文檔格式標準化事件的進展。

Updegrove稱﹐如果抗議內容被認為是無關緊要的話﹐問題大概在下個月之內就可以得到解決。但他稱﹐時間也許會更長﹐這將取決於該事件的複雜程度以及是否還會有更多的國家向ISO提出抗議。

ISO發言人沒有回覆記者的置評請求。(道瓊斯通訊社)

以上轉載的新聞在這邊做了簡單的用詞正體台灣化。

COMMENT:

此新聞是微軟在5月21日宣布Office 2007 SP2將支援ODF和PDF等文件格式的後續發展。

雖然開放原始碼的Open Office執行效能和普遍性可能不及微軟Office,但這些它方軟體對開放性文件的支援將對微軟的產品造成威脅。

所以目前才致力於XML的標準化制定,來創造新的壟斷?

不過微軟在文件處理軟體的競爭對手恐怕不只如此,別忘了功能強大的Google Docs。

不管如何,再更多的競爭下,受惠的將是龐大的使用者。

Reference:

http://chinese.wsj.com/big5/20080529/MKT016532.asp?source=channel

SVG 感想

SVG 感想

上上週從Project報告中初步認識到了這個富有潛力的圖形格式。

讓我較為驚訝的是它的解析度高於FLASH,並可做出許多互動效果。

在今FLASH當道的時代,不管是動畫或影片都可藉由Player呈現。

既然SVG的規格上較為優秀,那其前景必指日可待。

而重量級繪圖軟體(如:Adobe Illustrator & Corel Draw)都可以設計出SVG圖形。

只要在客戶端增強支援性和廣泛性,未來不管是電腦或行動裝置平台,皆可受到大大運用。

XML Security I

XML Security I

XML Security Project是由Apache所發展致力於提供XML安全標準格式的計畫。

而其包含了兩個主要部份:XML Signature & XML Encryption。

該計畫源起於歐洲的The <WebSig> project,宗旨在於發展XML數位簽章標準。

後來在2001年德國席根大學資料通訊系統學院決定將其原始碼開放,並在基於Apache授權由Apache軟體基金會主持,讓發展更加穩固。

該計畫目前製作了Java和C++版本的XML Security Library發佈於 http://xml.apache.org/security/index.html

Reference:

ABOUT SAML

ABOUT SAML

JAPANESE:

標準化団体OASISによって策定された、IDやパスワードなどの認証情報を安全に交換するためのXML仕様。AuthXMLとS2MLを統合して標準化したもの。認証情報の交換方法はSAMLプロトコルとしてまとめれており、メッセージの送受信にはHTTPもしくはSOAPが使われる。

SAMLを用いることで、一度の認証で複数のWebサイトやサービスが利用できるシングルサインオン(SSO:Single Sign-On)を実現できる。通常、認証の必要な複数のWebサイトを利用するには、ユーザはサイトごとに認証情報を入力しなければならない。これでは手間がかかり、認証情報(IDやパスワードなど)の管理も面倒である。WebサイトがSAMLに対応していれば、別のサイトへ移動したときに、移動元のサイトと移動先のサイトがSAMLプロトコルで通信し、自動的に認証情報が引き継がれる。

CHINESE:

由標準化團體OASIS所制定,用於讓帳號和密碼認證資訊得以安全交換的XML格式。它是將AuthXML和S2ML整合後加以標準化的機制。進行認證資訊交換通訊時採用SAML協定,訊息接收方面則用HTTP或SOAP協定。

透過SAML可以實作SSO來讓單次認證被多個來源(網站或服務)所使用。一般而言,若要在多個網站進行認證的話,需要個別進行輸入程序而顯得繁雜,而非統一的認證資訊(帳號與密碼等)且不易於管理。所以當一網站可以支援SAML的話,即使移駕到其它網站,也可讓它們的認證資訊透過SAML協議通訊自動轉移,省去重複動作。

banana@fju csie譯

Reference:

http://e-words.jp/w/SAML.html

RSS vs ATOM II

RSS vs ATOM II

在"RSS Preview II"篇章中有提及到如何用PHP來實作RSS,現在則來試試更加囉唆的Atom(用RSS改)。

經過反覆測試和驗證後,整理如下。

1. RSS採用RFC 2822的時間格式,但Atom是RFC 3339,所以需要做轉換。

如(傻瓜式): $dateline = "".date("Y-m-d",$dateline)."T".date("H:i:s",$dateline)."Z";

2. link attribute為非巢狀式,注意最後要用" />"結尾。

如:<link rel=\"self\" type=\"application/atom+xml\"

href=\"http://http://csie.fju/atom.xml\" />\n

3. id attribute需給予一專屬代號值,可以用文章連結。

如:<id>http://csie.fju/news.php?id=1</id>

4. 除了published時間外,主feed和子entry都需給予updated時間。

5. 每個attribute與RSS都有相對名稱,故更改作業上不難。

Reference:

WordPress 2.5.1版的feed-atom.php檔案

RSS vs ATOM I

RSS vs ATOM I

1. RSS 2.0 比 Atom 1.0 早熟和被廣泛使用


2. RSS之版權為哈佛大學所有,Atom則屬IETF的Atompub,規範更新和管理上面Atom可能較佳


3. RSS不支援網址的相對參考(relative references),Atom則可


4. RSS之規格不包含schema,Atom則包含了ISO標準的RelaxNG schema(讓使用者確認日期發布的正確性)


5. RSS的分類有兩個部分(lable & domain),Atom則多了一部份(可供人閱讀的選擇性標題)(optional human-readable title)


6. RSS無uniqle ID,Atom則可藉此便於鎖定每個文章


7. RSS可加密和簽章,Atom另使用標準的XML Encryption和XML Digital Signature格式

Atom為RSS更加嚴謹之版本,適合根據不同需求來判斷選擇其一。

Reference:

http://www.intertwingly.net/wiki/pie/Rss20AndAtom10Compared
http://www.ibm.com/developerworks/cn/web/wa-syndrssatom/
http://blog.pixnet.net/idsharing/post/4772163

RSS Preview I

RSS Preview I

RSS全名Rich Site Summary、
以及別名Really Simple Syndication, RDF Site Summary。

維基百科對其定義為:

RSS是一種用於網上新聞頻道、網誌(weblogs)和其他Web內容的數據交換規範,起源於網景通訊公司(Netscape)的推送技術(push technology),將訂戶訂閱的內容傳送給他們的通訊協同格式(Protocol)。

前幾年開始在BLOG等看見RSS,RDF,ATOM等標籤,並且根據不同版本有不同表示方式。

起初不是很注意,而在好奇心驅使下接觸到這個協定。

點擊後看到的只是XML開頭的文件,並且有最近的ARTICLE標題和摘要,但仍不知如何使用。

後來才知道需要閱讀器配合來瀏覽,於是下載了RSSReader 1.0,才略懂其應用。

幾年間,有更多資訊網站因應了這個趨勢,紛紛推出了XML Feed。

在資訊發達過度的時代,閱讀量大時需要耗費大量時間在網頁讀取的頻寬等待上。

透過類RSS等Feed的話,可以輕鬆的獲取最新的部分內容,並增加選擇性,略過不感興趣的文章。

綜其特性,其目的無非是為網路使用者省時並增加方便性,最後減低了無窮等待選擇內容和碰觸不喜內容的精神耗損。

Reference:

http://zh.wikipedia.org/wiki/RSS
http://e-words.jp/w/RSS.html
http://rss-do.com/archives/2005/11/rss.html