<div class="markdown">
<p dir="auto">Jim,</p>

<p dir="auto">Input validation is hard enough as it is. Entity content compounds this problem enormously. You can validate an XML document fairly easily. However, validation of entity contents requires yet-another-grammer! To me the safest thing you can do is to <a href="http://world.std.com/%7Edtd/sign_encrypt/sign_encrypt7.html">sign-then-encrypt</a>. </p>

<p dir="auto">As the russians say: Trust, but verify.</p>

<p dir="auto">Do let me know what you learn - Dinis has made a very interesting discovery.</p>

<p dir="auto">Dennis</p>

<p dir="auto">On 6 Aug 2013, at 12:31, Jim Manico wrote:</p>

<blockquote>
<p dir="auto">The Java security manager runtime permissions have no management<br>
software available and often break functionality that these libraries<br>
depend on to run. I still think schema validation is in order. I'll dig<br>
a little deeper into this (from a defense perspective) and get back to<br>
you on this.</p>

<p dir="auto">Cheers,<br>
Jim</p>

<blockquote>
<p dir="auto">Policy file runtime permissions may help in restricting execution of rogue code. Most containers have them.<br>
Nice work btw</p>

<p dir="auto">Eoin Keary<br>
Owasp Global Board<br>
+353 87 977 2988</p>

<p dir="auto">On 6 Aug 2013, at 19:39, Jim Manico <a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a> wrote:</p>

<blockquote>
<p dir="auto">You normally want to do structural validation of untrusted XML before<br>
you accept it (using XML schema or the like). Such defenses if<br>
implemented right should protect you from this kind of vulnerability.</p>

<p dir="auto">But wow, very interesting work.</p>

<p dir="auto">Cheers,<br>
Jim</p>
</blockquote>
</blockquote>
</blockquote>

<p dir="auto">Dennis</p>

<hr>

<p dir="auto"><a href="http://about.me/dennis.groves">Dennis Groves</a>, MSc<br>
<a href="mailto:dennis.groves@owasp.org">Email me</a> or <a href="http://goo.gl/8sPIy">schedule a meeting</a>.</p>

<pre><code>Unless someone like you...cares a whole awful lot...
nothing is going to get better...It's not."
                                        -- The Lorax
</code></pre>

</div>