Attento Agli Rss!
Tutti i siti web si sono oramai adeguati all’utilizzo degli RSS (Really Simple Syndication) come nuovo modo per distribuire contenuti agli utenti: tale tipo di distribuzione permette di rimanere aggiornati, in tempo reale, sugli articoli pubblicati da un sito Internet, evitando così di perdere tempo.
Questo tipo di distribuzione permette, inoltre, di leggere gli articoli comodamente nel proprio PC, senza bisogno di aprire il sito Internet, ma utilizzando un programma chiamato “aggregatore”. Microsoft adotterà in modo nativo gli RSS in Windows Vista, il nuovo sistema operativo successore di Windows XP.
Lo smanettone Nicola D’Agostino parla di possibili rischi relativi agli RSS, citando un caso del 2003: Mark Pilgrim fece uno scherzetto a chi seguiva il feed del suo blog riempiendo di ornitorinchi lo schermo degli utenti.
Lo scherzo in realtà dimostrava la scarsa sicurezza degli aggregatori usati per leggere i feed RSS: se sono apparsi gli ornitorinchi significa che viene accettato ed eseguito HTML. Questo scherzetto deve farci rabbrividire, in quanto potrebbero essere diffusi dei feed RSS con del codice Javascript/HTML che magari facciano altre operazioni sul nostro computer.
Come evidenzia Simone Carletti, esperto di feed, il formato RSS è di per sè sicuro, in quanto è vietato l’uso dell’HTML e quindi preclusa la possibilità di caricare contenuti esterni.
Il problema è per lo più da imputare ai lettori di feed RSS che interpretano ed eseguono codice HTML nel caso in cui sia presente in un file RSS, in barba alle specifiche. Si stanno quindi usando alla carlona delle strutture di dati per ospitare dati per i quali non erano state studiate: i risultati sono pericolosi ed imprevedibili.
Possiamo testare la sicurezza del nostro aggregatore di feed RSS aggiungendo ai nostri feed http://www.izynews.com/en/safe_rss/check.xml: per maggiori dettagli su questo test vi rimando al sito del creatore.
Si può approfondire l’argomento sul sito di Nicola, su quello di Simone e su Exploit.
Io uso FeddeReader 3.01 da cui ho tolto l’opzione di eseguire javascript
Firefox non e? mai stato vulnerabile
Ovviamente, Firefox non legge i feed ma lista solo i titoli (se parliamo dei live bookmark).
Diverso è se parliamo di estensioni.
Ciao, io uso RSSOwl è fino a 2 secondi fa mi piaceva molto…. :-D ….ce l’ho sia con Windows che con Linux però non lo uso molto se non per “testare la visualizzazione” di un file xml. Per i feed mi affido semplicemente al MITICO firefox che non interpreta il tag DESCRIPTION ma mette comunque a disposizione il TITOLO del feed e il relativo link….. Diciamo che viene meno “solo” la possibilità di poter leggere un articolo senza navigare ma io ho il 56 k (l’adsl non ce la portano………) e con firefx semplicemente controllo se ci sono nuovi post/articoli e con un click e qualche secondo (a volte quasi un minuto per colpa del 56k…akka :-D ) mi trovo cmq a leggere l’articolo ….e non ho perso poi così tanto tempo! Anche questo post l’ho visto grazie firefox……
Mi spiace solo non essere stato di aiuto per consigliare altri aggregatori… di conseguenza ben vengano consigli ….. così cambio anche io!!!! ;-)
Grazie per la segnalazione e sopratutto ringrazio per la definizione di “smanettone” a me molto cara. :)
nda
Firefox non e’ mai stato vulnerabile
FeedReader, io ho la versione 2.9, eseguendo il test segnalato, manifesta numerosi possibili punti deboli.
Quale Reader di RSS usate? Quale è più sicurò?