2003-12-17 SOAP メッセージの DTD 解釈時に DoS 攻撃を許す脆弱性 (japan.internet.com) Security Microsoftによれば、『SOAP 1.1』の仕様では、SOAP メッセージに DTD を含めるべきではないと定義しているという。 含めるべきでないものを含めるから、こうなるんじゃないでしょうか? 「〜するべきではない」という条件はきっと誰も守りません。そんなこと言って脆弱性増やすんなら「〜できません」としてセキュアにしてくださいな。
