Czytniki RSS nie są bezpieczne

dodano: 2006-08-04, źródło: di.com.pl

szukaj: rss czytniki rss bezpieczeństwo

Warto uważać na subskrypcje, jakie dodajemy do swojego czytnika RSS. Zdaniem Boba Augera z firmy SPI Dynamics, informacje pobierane przez czytnik mogą zawierać złośliwe kody, a mało który czytnik posiada stosowne zabezpieczenia.

Bob Auger przetestował kilka popularnych czytników takich jak Bloglines, RSS Reader, RSS Owl, Feed Demon i Sharp Reader. Swoje wnioski przedstawił wczoraj, na konferencji Black Hat w Las Vegas. Jego zdaniem programy te nie mogą być uznane za bezpieczne.

W treści, jaka trafia do odbiorcy kanału RSS można umieścić złośliwy kod JavaScript. Kod ten często nie jest w żaden sposób izolowany i ma pełny dostęp do systemu użytkownika.

Najprościej byłoby w ogóle zablokować możliwość przyjmowania kodów JavaScript przez czytnik, ale wiele serwisów korzysta z nich, aby wyświetlać reklamy w kanale RS

Atak za pomocą czytnika RSS mógłby następować np. dzięki blogom utworzonym przez cyberprzestęców. Auger sądzi również, że możliwe byłoby dodanie kodu JavaScript do komentarzy na zaufanym blogu, które potem zostałyby pobrane przy odświeżaniu kanału komentarzy.

mm - Dziennik Internautów - www.di.com.pl

szukaj: rss czytniki rss bezpieczeństwo

Osoby czytające tę wiadomość przeglądały również:

• 3 kandydatka na Firefox 2.0
• Aplikacje Google w twojej domenie
• 70 proc. witryn na bakier z bezpieczeństwem
• Wiem o korupcji. Enter
• Otwarta Java na GPL?
• Internet może się rozpaść na mniejsze sieci?
• Sun otwiera Javę
• (Bardzo) kosztowne spamowanie