<div>...</div><div><br></div>So I can attack a user (denial of service) by providing an .xo file<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

with a very very large .svg file in it, and there is nothing the user<br>
can do ... in Sugar ... to escape from the situation.<br>
<br>
It is an added security vulnerability.<br>
<br>
So, Nak.<br>
<br>
As an example, <a href="http://dev.laptop.org/~quozl/denial-of-service.zip" target="_blank">http://dev.laptop.org/~quozl/denial-of-service.zip</a> is<br>
an old activity of mine with the .svg file replaced by 1 GB of zero<br>
bytes, which compresses nicely.  When this file is renamed to .xo and<br>
downloaded with Sugar is to result in 1 MB of download data, and in 2<br>
GB of storage loss; 1 GB for the activity/*.svg files, and 1 GB for<br>
the /icon_files/<br>
<div class="im HOEnZb"><br></div></blockquote><div><br></div><div>Right now, sugar is decompressing the icon anyway,</div><div>then, there are no too much change. </div><div><br></div><div>Gonzalo </div></div>