Експерти: RSS и блогове са уязвими на хакерски атаки
Голяма част от четците не филтрират опасните скриптове
05/06/2006
Хакери могат да вмъкват зловредни Java скриптове в съдържанието, което се изпраща на абонатите на RSS услуги, алармираха специалисти по сигурност от компанията SPI Dynamics.
Хакери могат да вмъкват зловредни Java скриптове в съдържанието, което се изпраща на абонатите на RSS услуги, алармираха специалисти по сигурност от компанията SPI Dynamics.
Много блогове прикачат коментарите по дискутираните теми към своите RSS генератори. Това е шанс за хакерите да вмъкнат зловреден JavaScript под формата на коментар към блога и така да проникнат в компютъра на абоната на RSS услугата.
RSS набра голяма популярност, тъй като предлага на потребителя в едно приложение, наречено RSS четец, информация от много източници и така му спестява време да претърсва всеки сайт поотделно.
Ако опасният JavaScript не бъде филтриран от RSS четеца на потребителя, той ще се зареди на РС-то и ще установи контрол върху него. Някои четци показват RSS съдържанието в Internet Explorer, без обаче да използват базовите настройки за сигурност, които изолират скриптовете.
Решението, според специалистите, е потребителите да използват неуязвими към хакерски инвазии RSS четци. За съжаление, в по-голяма част от продуктите, тествани от SPI Dynamics, са открити проблеми със сигурността, вкл. Bloglines, RSS Reader, RSS Owl, Feed Demon и Sharp Reader.
Самите източници на RSS новини трябва да осигурят на своите абонати чисти от зловреден код съобщения. Проблем тук е, че често се използват Java скриптове за предлагане на реклама по RSS.