Fil (URI-skema)

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 24. januar 2021; checks kræver 10 redigeringer .

Fil- URI -skemaet  er et URI-skema, der er dokumenteret i RFC 8089 , RFC 1630 , RFC 1738 og RFC 3986 , designet til at adressere filer på en lokal computer eller lokalt netværk ved deres direkte sti på en disk, netværksmappe eller, i nogle tilfælde, på en ftp-server. URI -skemafilen er registreret hos IANA URI Scheme Registry [1] og er opført under afsnittet "Permanente URI-skemaer".

Om ordningen

Filskemaet er et af de ældste URI - skemaer . Det har været inkorporeret i software siden internettets begyndelse. WorldWideWeb , den første webbrowser skabt i 1991 af Tim Berners-Lee , opfinder af World Wide Web , understøttede filskemaet . Specifikationen RFC 1630 , som den først blev dokumenteret i, blev også skrevet af Tim Berners-Lee i juni 1994, før oprettelsen af ​​W3C , og er en af ​​de ældste internetspecifikationer.

Før introduktionen af ​​ftp - skemaet blev filskemaet brugt til at henvise til filer, der var placeret på ftp-servere. Tim Berners-Lee foreslog selv brugen af ​​filskemaet i URL'en til links til filer, der er tilgængelige via ftp-protokollen , og han brugte selv sådanne links i References-sektionen i hans publikationer [2] . Lynx - browseren , en af ​​de ældste overlevende browsere, har bevaret denne fortolkning af fil [3] -skemaet til denne dag .

I modsætning til de fleste kendte skemaer (f.eks. http, nfs, sip, telnet osv.), er filskemaet ikke en protokol. Dette er udtrykkeligt angivet i RFC 1738 : "Et træk ved dette skema er, at det ikke specificerer en internetprotokol eller filadgangsmetode, så dets brug i netværksprotokoller mellem værter er begrænset" [4] . Filskemaet angiver blot stien til en fil som en URL ( eller URI) på en bestemt maskine. Den siger også, at "denne ordning, i modsætning til de fleste andre URL-skemaer, ikke definerer en ressource, der er offentligt tilgængelig over internettet."

Filskemaet understøttes af alle populære browsere, på alle operativsystemer, selvom det er baseret på en meget gammel standard, der beskriver URL-formatet, men endnu ikke har sit eget . Men på grund af ovenstående funktioner er brugen begrænset. Det fungerer i adresselinjen, men denne ordning findes næsten aldrig i HTML -markeringen af ​​websteder. Et nyt skema , app , er blevet udviklet til at erstatte filen . Appskemaet er beskrevet i W3C - anbefalingen den 16. maj 2013 [5]

Formater

URL'en med skemafilen har formatet [4] :

file:// <host> / <sti>

hvor host er det fuldt kvalificerede domænenavn på systemet, hvor stien er tilgængelig , og stien er en hierarkisk mappesti i formatet mappe / bibliotek /.../ filnavn . Hvis værten udelades, er standarden "localhost", den vært, hvor URL'en er parset. Før 2005 havde standarden et krav om, at hvis værten udelades, så kan den tilsvarende skråstreg eller dobbelte skråstreg ikke udelades ("file:///foo.txt" vil fungere, men "fil://foo.txt" vil ikke, selvom nogle parsere var i stand til at håndtere denne sag). RFC 3986 , udgivet i 2005, fjernede dette krav. Ifølge RFC 3986 udelader udeladelse af autoritet (i dette tilfælde svarende til host ) også den dobbelte skråstreg (//).

Betydningen af ​​skråstreget

Skråstreg (/) har en anden betydning afhængigt af positionen i URI'en.

  1. Den dobbelte skråstreg (//) efter filen: -skemaet er en del af URL -syntaksen og er påkrævet, når autoritet angives ( værtsfeltet fungerer som autoritet).
  2. Skråstreg mellem vært og sti er også en del af URL-syntaksen, selvom den kan være en del af sti på Unix-systemer eller udeladt, hvis den angivne sti er relativ, dvs. starter med "." eller "...".
  3. De resterende skråstreger adskiller navnene på mapper i stifeltet i bibliotekshierarkiet på den lokale computer. I dette tilfælde er skråstreget en systemuafhængig måde at adskille stidele på.

Andre URL-komponenter

Komponenterne login (brugernavn), adgangskode (adgangskode) og port (port) bruges ikke i URL'er med filskemaet. Men på samme tid kan parametrene (forespørgselsstreng) og anker (fragmentidentifikator) komponenter [6] bruges af selve applikationen, der viser indholdet af den givne fil-URL. For eksempel kan et script inde i et HTML - dokument læse parametrene, og et anker kan bruges på en standard måde til at navigere i dokumentet.

Gyldige tegn og deres indkodninger

Fil-URL'er adskiller sig i tegnsæt fra både traditionelle URL'er og filstier i filsystemer. Da stier i filsystemer kan indeholde tegn, der er reserveret i URL'er til serviceformål ('#', '%' osv.), bliver sådanne tegn (tidligere også mellemrum ' ') kodet, når en sti konverteres til en fil-URL . Men på samme tid, i modsætning til URL'en, anbefales det i filens URL at bruge tegn af fremmede alfabeter (det vil sige ikke fra US-ASCII-tabellen) som den er, det vil sige uden URL-kodning [6] . Dette skyldes, at de URL-kodede oktetter i filens URL behandles som bytes i brugerens aktuelle tegntabel, hvilket betyder, at værdien af ​​URL'en vil ændre sig afhængigt af den lokalitet, hvor dokumentet ses [6] .

Eksempler

UNIX og UNIX-lignende operativsystemer

4 Unix eksempler , der peger på den samme / etc / fstab fil :

file://localhost/etc/fstab file:///etc/fstab file:///etc/./fstab file:///etc/../etc/fstab

Et eksempel på et link til filen rfc959.txt, som er placeret på nnsc.nsf.net ftp-serveren [Bemærk. 1] :

file://nnsc.nsf.net/rfc/rfc959.txt Mac OS

2 eksempler på Mac OS , der peger på den samme /var/log/system.log-fil :

file://localhost/var/log/system.log file:///var/log/system.log Windows

Eksempler på stier, der understøttes af Windows -programmer, der peger på filen c: \ WINDOWS \ clock.avi :

file://localhost/c|/WINDOWS/clock.avi file:///c|/WINDOWS/clock.avi file://localhost/c:/WINDOWS/clock.avi file:///c:/WINDOWS/clock.avi

Et eksempel på en sti til start.swf -filen placeret i netværksmappeprodukterne på en computer med netværksnavnet applib [ 7] :

file://applib/products/ab/abc_9/4148.920a/media/start.swf

Et eksempel på en fil-URI med %-kodede tegn og et Unicode-tegn [7] (i Internet Explorer 6 og 7 virker %20 -eksemplet muligvis ikke [8] ):

file:///C:/Documents%20and%20Settings/davris/FileSchemeURIs.doc file:///C:/exampleㄓ.txt

Filskemaet og browsere

Browser Understøttelse af filskema (localhost) Tom vært ( fil:/// ) Netværksvært _ Drevbogstav i sti ( C: ) [Eks. v. 1] Mappeoversigt URL-kodede tegn fillinks i html
Google Chrome Ja Ja VINDER Ja Ja Ja Ja
Internet Explorer Ja Ja VINDER Ja Ikke Ja Ja
Konqueror Ja Ja ? - Ja Ja Ja
Los Ja Ja FTP Ja Ja Ja Ja
Mozilla Firefox Ja Ja VINDER [Eks. v. 2] Ja Ja Ja Ja
Opera Ja Ja VINDER Ja Ja Ja Ja
safari Ja ? ? - Ikke ? ?
Yandex browser Ja Ja VINDER Ja Ja Ja Ja
Tabelnoter
  1. Kun for browsere, der understøtter Windows
  2. Den almindeligt angivne sti som file://hostname/share/path/to/a/file virker ikke i Mozilla Firefox, men du kan indstille den som file://///hostname/share/path/to/a /fil . I 2001 introducerede Mozilla en fejl om dette, diskuterede det i flere år, men de rettede det ikke (de fandt ikke en fornuftig løsning) [9]

Windows filskema

Fil-URI-skemaet blev oprindeligt understøttet af Windows, dvs. med fremkomsten af ​​URI-understøttelse [Note. 2] generelt, og specifikt med udgivelsen af ​​Internet Explorer 1 [10] . Den første version af Internet Explorer blev udviklet i 1995, da URL-standarden endnu ikke eksisterede, og filskemaet kunne fortolkes på forskellige måder, hvilket skete med browseren. Dens forskellige moduler håndterede filskemaet forskelligt. Efter omarbejdning blev denne situation elimineret. shlwapi.dll blev oprettet , hvori al koden til at arbejde med URL'en blev placeret. Under omarbejdelsen blev to former for filskemaet aftalt: den ene i henhold til URL-standarden, den anden en gammel formular, der stammede fra DOS-tiden. Microsoft-medarbejdere kaldte det legacy file URL (forældet fil URL). Eksempler på ældre fil-URL:

Filsti: c:\windows\My Documents 100%20\foo.txt Ældre fil-URL: file://c:\windows\My Documents 100%20\foo.txt Standardfil-URL: file:///c:/windows/My%20Documents%20100%2520/foo.txt Filsti: \\server\share\Mine dokumenter 100%20\foo.txt Ældre fil-URL: file://\\server\share\My Documents 100%20\foo.txt Standardfil-URL: file://server/share/My%20Documents%20100%2520/foo.txt

Den nye dll håndterer både nye og gamle fil-URL'er korrekt, så dens PathCreateFromUrl()- og UrlCreateFromPath()-funktioner anbefales til konvertering mellem Windows-stier og fil-URL'er [6] [11] .

Ud over disse funktioner blev funktionen CreateURLMoniker() oprettet i urlmon.dll (startende med Internet Explorer 3 ) for at konvertere en streng URI til et objekt, der kan bruges til at få dataene adresseret til den givne URI ( moniker ). Men denne funktion forårsagede også nogle problemer med at konvertere filen URI [11] , som et resultat af hvilket en ny CreateURLMonikerEx() funktion blev tilføjet og anbefalet til brug (startende med Internet Explorer 5.5 ), hvor alle disse problemer blev rettet. Med udgivelsen af ​​Internet Explorer 7 blev endnu en CreateURLMonikerEx2()-funktion tilføjet, der understøtter relative stier.

Sikkerhedsproblemer

Med fremkomsten og udbredelsen af ​​browserunderstøttelse til scriptsprog som JavaScript er der blevet opdaget en række sårbarheder relateret til brugen af ​​filskemaet. Som følge heraf har browserleverandører indført en række indbyggede browserbegrænsninger for brugen af ​​fil-URL'er.

Større fil URI-relaterede browsersårbarheder

Links med filskemaet i HTML-dokumenter indlæst over HTTP virker ikke i næsten alle populære browsere: Internet Explorer (fra version 6 SP1) [12] [Bemærk. 3] , Mozilla Firefox [14] [15] , Chromium [16] og Google Chrome [17] , Safari , Opera . Et klik på sådanne links hverken navigerer eller viser en fejlmeddelelse, selvom en fejlmeddelelse kan være logget i fejlkonsollen. Indhold på en fil-URL indlæses heller ikke i rammerne af et HTML-dokument, der er indlæst på en HTTP-URL. Denne sikkerhedspolitik blev introduceret på grund af det faktum, at sådanne links forårsager en række sårbarheder:

  • Et HTML-dokument, der er hostet på en angribers websted, kan downloade filer på brugerens computer ved hjælp af fil-URL'er og derefter sende dem til en server, der kontrolleres af angriberen. Angriberen får adgang til brugerens fortrolige data;
  • Mange browsere og browser-plugins opbevarer deres midlertidige filer og cache på forudsigelige steder på disken. En angriber kan først placere en HTML-fil et af disse steder under normal browserdrift (en angriber på et kontrolleret websted kan bede om at gemme en webside på disk eller sende den i et arkiv til e-mail), og derefter prøve at åbne det ved at ringe gennem en specielt forberedt fil-URL. Et HTML-dokument, der åbnes lokalt (via en fil-URL), har flere privilegier end et fjerntliggende dokument og kan både få adgang til brugerens følsomme data og udføre andre uønskede handlinger. Denne angrebsmetode kaldes også "fil-URL-til-fil-URL-scripting" [18] . Derudover kan brugeren åbne et skadeligt html-dokument lokalt på sin computer.
  • En lokalt åbnet html-fil kan indlæse en ekstern webside i en iframe (fordi lokale filer på computeren ikke er underlagt domænebegrænsningsreglen for kun websted ), såsom et e-mail-websted, hvor brugeren allerede er logget ind, og dermed få adgang til fortrolige brugerdata placeret på internettet.

For at bekæmpe den anden sårbarhed blev der også indført en politik kaldet " Domænebegrænsningsregel " ( samme oprindelsespolitik ), svarende til politikken af ​​samme navn, der blev indført tidligere for websteder i http-zonen. Mozilla Firefox, som introducerede denne politik i browserversion 3 ( Gecko 1.9-motor) i 2007, var en af ​​de første til at gøre det (det tog 3 år for Firefox-udviklerne at diskutere og implementere denne politik [19] ). Ifølge denne regel kan en fil kun læse en anden fil, hvis kildefilens overordnede bibliotek er målfilens supermappe [20] . Microsoft har tidligere været hårdere og generelt deaktiveret Javascript-udførelse ved åbning af lokale filer, startende med Internet Explorer 6 i Windows XP SP2, hvilket tilføjer muligheden for, at brugere kan udføre et script ved at vælge en speciel kommando fra en pop-up-menu. Safari 3.2 tillader ikke brugeren at åbne lokale fil-URL'er fra andre kilder end adresselinjen. Opera 9.6 tillader ikke lokale html-sider at indlæse fjernindhold (men dette beskytter ikke mod muligheden for, at en hacker får adgang til data på computeren). Chromium (og dets afhængige Google Chrome) implementerede en politik svarende til Operas [21] og tog også Firefox's politik i betragtning, men implementerede senere en endnu mere restriktiv politik [22] ved at forbyde fil-URL'er for scripts på lokale websider på alle (senere blev det besluttet at lempe denne politik).

Der har været mange klager som følge af disse begrænsninger, da de forstyrrer lokale websteder og web-mapper, som er meget brugt i mange virksomheds- og lokale netværk, i cd-distributioner, i vedhæftede filer i e-mail og også bruges af webudviklere til fejlretning . websteder. For eksempel blev flere snesevis af duplikerede fejl introduceret i Mozilla om dette [15] . Derfor er muligheden for at omgå, deaktivere eller konfigurere denne politik blevet understøttet i browsere, og der er dukket artikler op, der foreslår, hvordan man gør dette. Så i Internet Explorer er denne politik konfigureret af parameteren "Websteder i mindre privilegeret webindholdszone kan navigere ind i denne zone" i indstillingerne for zonen "Min computer" eller en anden. Dette forbud omgås også ved at tilføje websteder, der ikke forårsage nogen bekymring for zonen Internet Explorer Trusted Sites . I Mozilla Firefox omgås dette forbud ved at bruge udvidelserne LocalLink, Local Filesystem Links, IE Tab; eller en særlig sikkerhedspolitikindstilling (en særlig zone oprettes for en gruppe af websteder med sine egne specifikke sikkerhedsindstillinger) [14] . I Google Chrome fra version 7 kan denne begrænsning omgås ved at starte browseren med flaget --allow-file-access-from-files eller ved at bruge udvidelsen LocalLinks. Chromium har også besluttet at lempe " domænebegrænsningsreglen "-politikken for fil-URL'er [23] som følge af adskillige klager .

Sikkerhedspolitik restriktioner i browsere

De vigtigste begrænsninger af sikkerhedspolitikken i browsere er afspejlet i tabellen [Note 2. 1] .

Testbeskrivelse MSIE6 [Bemærk v.2. 2] MSIE7 [Bemærk v.2. 3] MSIE8 [Bemærk v.2. fire] FF2 [Bemærk v.2. 5] FF3 [Bemærk v.2. 6] Safari [Bemærk v.2. 7] Opera [Bemærk v.2. otte] Chrome [Bemærk v.2. 9]
Har lokale HTML'er adgang til ikke-relaterede lokale filer via DOM? Ja Ja Ja Ja Ikke Ikke Ja Ikke
Har lokale HTML'er adgang til ikke-relaterede lokale filer via XMLHttpRequest? Ikke Ikke Ikke Ja Ikke Ikke Ja Ikke
Har lokale HTML'er adgang til websteder på internettet via XMLHttpRequest? Ja Ja Ja Ikke Ikke Ikke Ikke Ikke
Virker document.cookie med fil-URL? Ja Ja Ja Ja Ja Ja Ja Ikke
Er det tilladt at indlæse <IMG> tag med filen URI? Ja Ja Ja Ikke Ikke Ikke Ikke Ikke
Er det tilladt at indlæse <SCRIPT> tag med filen URI? Ja Ja Ja Ikke Ikke Ikke Ikke Ikke
Er det tilladt at indlæse <IFRAME> tag med filen URI? Ja Ja Ja Ikke Ikke Ikke Ikke Ikke
Er det tilladt at indlæse <EMBED>-tagget med en fil-URI? Ikke Ikke Ikke Ikke Ikke Ikke Ikke Ikke
Er det tilladt at indlæse <APPLET> tag med filen URI? Ja Ja Ja Ikke Ikke Ja Ikke Ja
Er det muligt at indlæse stilarter (stylesheet) via fil-URI? Ja Ja Ja Ikke Ikke Ikke Ikke Ikke
Er placeringsomdirigering tilladt via fil-URI? Ikke Ikke Ikke Ikke Ikke Ikke Ikke Ikke
Er Refresh-omdirigering tilladt via fil-URI? Ikke Ikke Ikke Ikke Ikke Ikke Ikke Ikke
Tabelnoter
  1. Dataene i tabellen, for alle browsere, medmindre andet er angivet, er hentet fra Michal Zalewskis "Browser Security Handbook" [24] , hvis hovedmateriale blev skrevet tilbage i 2008 [25] , og muligvis ikke er relevant for nyere versioner af browsere
  2. MSIE6 - Microsoft Internet Explorer 6 (v6.0.2900.5512)
  3. MSIE7 - Microsoft Internet Explorer 7 (v7.0.5730.11)
  4. MSIE8 - Microsoft Internet Explorer 8 (v8.0.6001.18702)
  5. FF2 - Mozilla Firefox 2 (v2.0.0.18)
  6. FF3 - Mozilla Firefox 3 (v3.6.8)
  7. Safari - Apple Safari v4.0
  8. Opera - Opera v9.62
  9. Chrome - Google Chrome v7.0.503.0

Attack XXE

XXE ( Xml eXternal Entity )  angrebet er en af ​​de mest berømte sårbarheder på internettet. Denne klasse af sårbarheder er registreret i de største sårbarhedskataloger: Common Weakness Enumeration [26] og CAPEC [27] . Essensen af ​​angrebet er som følger. Der er tjenester, der understøtter SOAP- og XML-RPC-protokollerne , der accepterer input i form af et XML - dokument. XML-dokumentstandarden understøtter medtagelsen af ​​en DTD- sektion , og DTD-sektionerne kan til gengæld forbinde yderligere komponenter til dokumentet, de såkaldte eksterne enheder [ 28 ] . Eksterne enheder er separate filer og specificeres ved hjælp af SYSTEM nøgleordet og URI. Hvis XML-parseren ikke er validerende, kan den blot indlæse den eksterne enhed og vedhæfte den til indholdet af XML-dokumentet. En angriber kan i den eksterne enhedsfils URI erstatte en URI, der peger på en hardwareenhed på computeren eller til en lokal fil i systemet. Serveren vil forsøge at læse filen på den angivne URI og inkludere dens indhold i XML. Når du bruger en sådan mekanisme, er følgende typer angreb mulige [29] :  

  • DoS (denial of service) angreb på en server ved at få adgang til en systemenhed såsom /dev/urandom eller;
  • få uautoriseret adgang til private serverfiler, såsom /etc/passwd eller c:/winnt/win.ini ;
  • scanning af TCP-porte (selv uden om firewallen);
  • DoS-angreb på andre systemer (hvis parseren tillader TCP-forbindelser til andre systemer)
  • tyveri af NTLM-godkendelsesmateriale initieret gennem et UNC -opkald til et system under angriberens kontrol;
  • Doomsday Scenario: En vidt udbredt, stærkt forbundet serverapplikation, der er påvirket af denne sårbarhed, kan bruges til et DDoS - angreb (Distributed Denial of Service).

XXE-sårbarheden i http://xml.org-fællesskabet ( hjemmesiden for non-profit-organisationen OWASP ) har været diskuteret siden 2001 [30] , men disse var kun teoretiske tanker om muligheden for et angreb af denne art. Den første person til at henlede offentlighedens opmærksomhed på denne sårbarhed var Gregory Steuck [31 ] .  I 2002 sendte han en sikkerhedsrådgivning (sikkerhedsmanual ) til www.securityfocus.com [29] , hvori han beskrev sårbarheden i detaljer og gav den navnet XXE Attack . 

Mange produkter blev påvirket af XXE-angrebet. Alle større databaser over softwaresårbarheder kan finde softwareprodukter, der er sårbare over for XXE-angreb: National Vulnerability Database [32] , Common Vulnerabilities and Exposures [33] , Open Source Vulnerability Database [34] . Sårbarhed over for "XXE-angreb" blev opdaget i så velkendte produkter som JDK og JRE (6. version, 3. opdatering) [33] [35] , WebKit og browseren baseret på det Safari (3. version) [ 36] [37] , Spring Framework [38] , CakePHP [39] , Adobe Reader (Version 7) [40] , Zend Framework [41] , Squiz [42] osv.

Standardisering og specifikationer

URI-filskemaet blev først beskrevet i juni 1994 i den informative RFC 1630 ("Universal Resource Identifiers in WWW"). I december samme år blev det standardiseret i RFC 1738 (Uniform Resource Locators (URL)). RFC 1738 beskriver det generelle URL-format og er nu forældet, bortset fra to sektioner, der beskriver fil- og ftp-skemaerne. Den nye RFC 3986 (Uniform Resource Identifier (URI): Generic Syntax), udgivet i 2005, inkorporerede RFC 1738 , lavede mindre ændringer, men den beskrev ikke individuelle skemaer. På det tidspunkt havde næsten alle ordninger fra den faste afdeling fået deres egen separate standard. Den gamle RFC 1738 angav kun formatet af ordningen, men definerede ikke reglerne for at anvende denne ordning og konvertere en lokal sti til en URI og omvendt. Der var behov for at standardisere filskemaet, samt en række andre ikke-standardiserede skemaer.

I 2004 begyndte Paul Hoffman, som har været medlem af IETF siden begyndelsen af ​​1990'erne, processen med at standardisere filskemaet. I løbet af juni skrev han separate specifikationer for fil-, ftp-, gopher-, nyheds- og nntp-, prospero- og telnet-skemaerne, og den 17. juni 2004 blev de offentliggjort på ietf.org-webstedet, og den 19. juni annoncerede han det på mailinglisten [43] . Den første revision af filskemastandarden blev kaldt "The file URI Scheme" [44] . Den 19. juni meddelte Paul Hoffman, at udkastet var begyndt aktiv diskussion. Der var mange kommentarer fra IETF-fællesskabet, og den anden revision [45] efterfulgt af den tredje [46] og den fjerde [47] fulgte snart . Men der blev aldrig opnået enighed. For at fortsætte med at arbejde på standarden oprettede Mike Brown et særligt wiki - site https://offset.skew.org/wiki/URI/File_scheme , hvor der i nogen tid blev arbejdet med at indsamle information vedrørende filskemaet. Men snart døde denne aktivitet, og standarden blev aldrig vedtaget.

I 2013 gør Matthew Kerwin endnu et forsøg på at standardisere filskemaet. I juni 2013 blev den første revision af udkastet offentliggjort [48] , en diskussion af udkastet begyndte, og i løbet af juni-8. september blev flere revisioner offentliggjort. Den seneste (#8, dvs. niende [Note 4] ) revision af udkastet blev offentliggjort den 18. september 2013 [49]

Noter

Kommentarer
  1. Dette eksempel virker kun i Lynx- browseren
  2. Udtrykket URI dukkede op senere, på det tidspunkt var prototypen URL, herefter i artiklen kan URI betyde URL
  3. Links med et filskema med en ikke-lokal vært (dvs. URL'er, der peger på en UNC - sti, f.eks. file://dmitryt/public/readme.txt ) fungerede i Internet Explorer op til version 9, men i en opdatering indtil version 9.02 , udgivet i august 2011, blev denne funktion deaktiveret [13]
  4. IETF-standardudkast er nummereret fra 0
Kilder
  1. Uniform Resource Identifier (URI) Schemes Arkiveret 11. oktober 2016 på Wayback Machine ( iana.org ) 
  2. Tim Berners-Lee, et. al. "World-Wide Web: an Information Infrastructure for High-Energy Physics", Proceedings of the Second Workshop on Artificial Intelligence and Software Engineering for High Energy Physics, La Londe, Frankrig, januar 1992  //  New Computing Techniques in Physics Research. Singapore: World Scientific. - S. 157-164 . Arkiveret fra originalen den 24. september 2015.
  3. URL-skemaer understøttet i Lynx Filens URL.  (engelsk) . Lynx Brugervejledning . http://lynx.isc.org+ (5. juli 2009). Hentet: 9. oktober 2013.  (ikke tilgængeligt link)
  4. 1 2 T. Berners-Lee, L. Masinter, M. McCahill. 3.10 Filer/Uniform Resource Locators (URL'er  ) . Anmodning om kommentarer: 1738 14. IETF (december 1994). Hentet 6. oktober 2013. Arkiveret fra originalen 15. oktober 2013.
  5. Marcos Caceres. Appen : URI-skema  . W3C (16. maj 2013). Hentet 8. oktober 2013. Arkiveret fra originalen 6. oktober 2013.
  6. 1 2 3 4 Dave Risney. Fil URI'er i Windows  . MSDN (6. december 2006). Hentet 16. oktober 2013. Arkiveret fra originalen 4. august 2013.
  7. 1 2 Risney, Dave Fil URI'er i  Windows . IEBlog . Microsoft Corporation (2013). Hentet 7. august 2013. Arkiveret fra originalen 4. august 2013.
  8. ↑ Du modtager muligvis en fejlmeddelelse, når du klikker på et hyperlink, der refererer til en fil på din lokale computer eller på dit lokale netværk i Internet Explorer  . Microsoft (26. oktober 2007). Hentet 20. oktober 2013. Arkiveret fra originalen 16. januar 2006.
  9. Fejl 70871 - file://hostname/dir/dir/filename - værtsnavn ikke implementeret Arkiveret 21. oktober 2013 på Wayback Machine . (2001-03-04). Mozilla
  10. Zeke Odins-Lucas. Den bizarre og ulykkelige historie om 'file : '-URL'er  . MSDN (19. maj 2005). Dato for adgang: 15. oktober 2013. Arkiveret fra originalen 16. januar 2013.
  11. 1 2 Dave Risney. CreateURLmoniker anses for at være  skadelig . MSDN (14. september 2006). Hentet 16. oktober 2013. Arkiveret fra originalen 17. oktober 2013.
  12. fil protokol  . MSDN . Hentet 20. oktober 2013. Arkiveret fra originalen 4. maj 2016.
  13. Eric Law. Internet Explorer 9.0.2-opdatering  (engelsk) . MSDN (12. august 2011). Hentet 19. oktober 2013. Arkiveret fra originalen 20. oktober 2013.
  14. 1 2 Links til lokale sider virker ikke  . MozillaZine Knowledge Base . Mozilla . Hentet 19. oktober 2013. Arkiveret fra originalen 20. oktober 2013.
  15. 1 2 Bug 122022 - (file://) [ISSUE] file:// URL'er i en http | https-siden virker ikke (klik gør ingenting, indlæs ikke automatisk osv.) . Bugzilla@Mozilla . Mozilla (26. januar 2002). Dato for adgang: 20. oktober 2013. Arkiveret fra originalen 24. oktober 2013.
  16. A. Barth, C. Jackson, C. Reis og Google Chrome Team. Chromium-browserens sikkerhedsarkitektur  :  Teknisk rapport. — Stanford University, 2008. — S. 6 . Arkiveret fra originalen den 7. september 2011.
  17. Šilić, M.; Krolo, J.; Delac, G. Sikkerhedssårbarheder i moderne webbrowserarkitektur  //  MIPRO, 2010 Proceedings of the 33rd International Convention. - Opatija, Kroatien, 2010. - S. 1240-1245 . — ISBN 978-1-4244-7763-0 . Arkiveret fra originalen den 24. oktober 2022.
  18. CVE -2009-1839  . Almindelige sårbarheder og eksponeringer (29. maj 2009). Dato for adgang: 19. oktober 2013. Arkiveret fra originalen 2. april 2015.
  19. Fejl 230606 - Stram samme oprindelsespolitik for lokale filer (fil: URL'er, betroet, sikkerhed) . Bugzilla@Mozilla . Mozilla (10. januar 2004). Hentet 20. oktober 2013. Arkiveret fra originalen 25. april 2014.
  20. Politik med samme oprindelse for fil: URI'er  (engelsk)  (downlink) . Mozilla Developer Network . Dato for adgang: 20. oktober 2013. Arkiveret fra originalen 16. august 2013.
  21. Adam Barth. Sikkerhed i dybden: lokale  websider . Chrom (4. december 2008). Hentet 20. oktober 2013. Arkiveret fra originalen 27. oktober 2013.
  22. Udgave 4197: Begræns yderligere adgangen til fil-  URL . Google . Dato for adgang: 20. oktober 2013. Arkiveret fra originalen 24. oktober 2013.
  23. Udgave 47416: Tillad, at et bibliotekstræ behandles som en enkelt oprindelse (løsn fil: URL-begrænsninger  ) . Google . Dato for adgang: 20. oktober 2013. Arkiveret fra originalen 24. oktober 2013.
  24. Michal Zalewski. Browsersikkerhedshåndbog, del  2 . Google (10. december 2008). Hentet 20. oktober 2013. Arkiveret fra originalen 19. august 2016.
  25. Michal Zalewski. Annoncering af "Browser Security Handbook  " . Google Online Security Blog (10. december 2008). Hentet 20. oktober 2013. Arkiveret fra originalen 25. april 2014.
  26. CWE-611: Ukorrekt begrænsning af XML ekstern enhedsreference ('XXE'  ) . Hentet 7. november 2013. Arkiveret fra originalen 30. marts 2020.
  27. CAPEC-201: Eksternt  enhedsangreb . Hentet 7. november 2013. Arkiveret fra originalen 5. december 2013.
  28. Elliot Rusty Harold, W. Scott Means. xml. Reference = XML i en nøddeskal, anden udgave / Pr. fra engelsk - St. Petersborg. : Symbol-Plus, 2002. - S.  76 -80. — 576 s. - ISBN 5-93286-025-1 .
  29. 1 2 Steuck, Gregory XXE (Xml eXternal Entity)  angreb . www.securityfocus.com (29. oktober 2002). Hentet 25. oktober 2013. Arkiveret fra originalen 29. oktober 2013.
  30. Wilson, John Derreferencing Namespace URI'er betragtes som skadelige  . XML-DEV-mailingliste (1. januar 2001). Hentet: 12. oktober 2013.
  31. Sabin, Miles Set på BugTraq : XXE (Xml eXternal Entity) angreb  . XML-DEV-mailingliste (30. oktober 2002). Hentet: 12. oktober 2013.
  32. Sårbarhedsoversigt for CVE-2008-0628  (udefineret) . Hentet 7. november 2013. Arkiveret fra originalen 2. juni 2013.
  33. 12 CVE - 2008-0628 . Hentet 7. november 2013. Arkiveret fra originalen 4. marts 2016. 
  34. ↑ 68033 : Splunk XML Parser XML External Entity (XXE) Uspecificeret Remote Privilege Escalation  . Hentet: 7. november 2013.  (utilgængeligt link)
  35. Chris Evans. Sun JDK6 bryder XXE-  angrebsbeskyttelsen . http://scary.beasts.org+(2007).+ Hentet 7. november 2013. Arkiveret fra originalen 10. januar 2013.
  36. Dmitry Dokuchaev. Udnyttelsesoversigt  // Hacker . - 2009. - Udgave. 127 , nr. 07 . - S. 44-50 . Arkiveret fra originalen den 25. april 2014.
  37. Sårbarhed for lokal filtyveri i Apple Safari  . www.securityfocus.com (9. juni 2009). Hentet 7. november 2013. Arkiveret fra originalen 4. marts 2016.
  38. CVE-2013-4152 XML External Entity (XXE)-injektion i Spring  Framework . www.securityfocus.com (22. august 2013). Hentet 7. november 2013. Arkiveret fra originalen 7. september 2013.
  39. CakePHP 2.x-2.2.0-RC2 XXE  Injection . www.securityfocus.com (16. juli 2012). Hentet 7. november 2013. Arkiveret fra originalen 10. oktober 2012.
  40. Sverre H. Huseby. Adobe Reader 7 : XML External Entity (XXE)-angreb  . www.securityfocus.com (16. juni 2005). Hentet 7. november 2013. Arkiveret fra originalen 4. marts 2016.
  41. SEC Consult SA-20120626-0 :: Zend Framework - Offentliggørelse af lokal fil via XXE-  injektion . www.securityfocus.com (26. juni 2012). Hentet 7. november 2013. Arkiveret fra originalen 7. juli 2012.
  42. Squiz CMS flere sårbarheder - Sikkerhedsrådgivning - SOS-  12-007 . www.securityfocus.com (18. juni 2012). Hentet 7. november 2013. Arkiveret fra originalen 4. marts 2016.
  43. Hoffman, Paul Historiske skemaudkast  . [email protected] mailingliste (19. august 2004). Hentet: 26. september 2013.
  44. P. Hoffman. Filen URI  Scheme . IETF (17. august 2004). Hentet 6. oktober 2013. Arkiveret fra originalen 13. september 2014.
  45. P. Hoffman. Filen URI  Scheme . IETF (18. september 2004). Hentet 6. oktober 2013. Arkiveret fra originalen 13. september 2014.
  46. P. Hoffman. Filen URI  Scheme . IETF (30. november 2004). Hentet 6. oktober 2013. Arkiveret fra originalen 13. september 2014.
  47. P. Hoffman. Filen URI  Scheme . IETF (januar 2005). Dato for adgang: 6. oktober 2013. Arkiveret fra originalen 24. juli 2014.
  48. M. Kerwin. Filen URI  Scheme . IETF (20. juni 2013). Hentet 6. oktober 2013. Arkiveret fra originalen 4. februar 2015.
  49. M. Kerwin. Filen URI  Scheme . IETF (18. september 2013). Hentet 6. oktober 2013. Arkiveret fra originalen 4. februar 2015.

Se også

Links

 URI- ordninger
Officiel
uofficiel