Jesteś tutaj: webmade.org >> wiadomości >> przeglądarki
dodano: 2006-08-10, źródło: di.com.pl
Walter VonKoch z Microsftu zapewnia na swoim blogu, że czytnik RSS w przeglądarce IE7 nie jest podatny na ataki. Kwestia bezpieczeństwa czytników RSS została podniesiona w ubiegłym tygodniu na konferencji Black Hat.
O bezpieczeństwie czytników RSS (a raczej o jego braku) mówił na konferencji Black Hat Bob Auger z firmy SPI Dynamics. Zwrócił on uwagę na to, że w treści, jaka trafia do odbiorcy kanału RSS można umieścić złośliwy kod JavaScript. Kod ten często nie jest w żaden sposób izolowany i ma pełny dostęp do systemu użytkownika.
Auger nie zaatakował w czasie swojej prezentacji IE7, tylko skupił się raczej na wyspecjalizowanych czytnikach. Mimo to VonKoch postanowił na swoim blogu uprzedzić standardowe ataki na bezpieczeństwo produktów Microsoftu udowadniając, że IE7 należy zaliczyć do bezpiecznych programów umożliwiających czytanie wiadomości.
Czytnik IE7 ma być bezpieczny dzięki procesowi "uzdrawiania" przez jaki przechodzą informacje trafiające do programu. Proces ten polega w głównej mierze na usunięciu znaczników HTML, tak aby informacja trafiająca do aplikacji odpowiedzialnej za wyświetlenie wiadomości miała postać zwykłego tekstu.
Poza tym, domyślnie uruchamianie skryptów jest wyłączone w aplikacji wyświetlającej RSS, gdyż wyświetla je ona w specjalnej, ograniczonej strefie. Dzieje się tak nawet wtedy, gdy strona znajduje się na liście witryn "zaufanych".
Poza tym, domyślnie uruchamianie skryptów jest wyłączone w aplikacji wyświetlającej RSS, gdyż wyświetla je ona w specjalnej, ograniczonej strefie. Dzieje się tak nawet wtedy, gdy strona znajduje się na liście witryn "zaufanych".
Taki poziom bezpieczeństwa oferuje jednak nie tylko IE7. Mark Stępień z zespołu AviaryPL wyjaśnił w wypowiedzi dla Dziennika Internautów, że cała treść kanałów RSS wyświetlanych w Firefoksie (1.x i 2.0 beta) jako dynamiczne zakładki oraz w podglądzie kanału RSS w Firefoksie 2.0, traktowana jest jako zwykły tekst. Znaczniki HTML są przy tym odfiltrowywane, a JavaScript w RSS nie jest dostępny w ogóle.
- Opisane zagrożenie w żaden sposób nie dotyczy więc mechanizmów związanych z obsługą RSS wbudowaną w Firefoksa - podsumowuje Stępień.
W obecnej chwili czekamy na odpowiedź w sprawie odporności na ataki przez kanał RSS od specjalistów pracujących przy przeglądarce Opera.
Marcin Maj - Dziennik Internautów - www.di.com.pl
szukaj: RSS bezpieczeństwo Internet Explorer Firefox
Osoby czytające tę wiadomość przeglądały również:
© 2004-2008 copyright by webmade.org