RSS w popularnych przeglądarkach jest bezpieczne
Walter VonKoch z Microsftu zapewnia na swoim blogu, że czytnik RSS w przeglądarce IE7 nie jest podatny na ataki. Kwestia bezpieczeństwa czytników RSS została podniesiona w ubiegłym tygodniu na konferencji Black Hat.
reklama
O bezpieczeństwie czytników RSS (a raczej o jego braku) mówił na konferencji Black Hat Bob Auger z firmy SPI Dynamics. Zwrócił on uwagę na to, że w treści, jaka trafia do odbiorcy kanału RSS można umieścić złośliwy kod JavaScript. Kod ten często nie jest w żaden sposób izolowany i ma pełny dostęp do systemu użytkownika.
Auger nie zaatakował w czasie swojej prezentacji IE7, tylko skupił się raczej na wyspecjalizowanych czytnikach. Mimo to VonKoch postanowił na swoim blogu uprzedzić standardowe ataki na bezpieczeństwo produktów Microsoftu udowadniając, że IE7 należy zaliczyć do bezpiecznych programów umożliwiających czytanie wiadomości.
Czytnik IE7 ma być bezpieczny dzięki procesowi "uzdrawiania" przez jaki przechodzą informacje trafiające do programu. Proces ten polega w głównej mierze na usunięciu znaczników HTML, tak aby informacja trafiająca do aplikacji odpowiedzialnej za wyświetlenie wiadomości miała postać zwykłego tekstu.
Poza tym, domyślnie uruchamianie skryptów jest wyłączone w aplikacji wyświetlającej RSS, gdyż wyświetla je ona w specjalnej, ograniczonej strefie. Dzieje się tak nawet wtedy, gdy strona znajduje się na liście witryn "zaufanych".
Taki poziom bezpieczeństwa oferuje jednak nie tylko IE7. Marek Stępień z zespołu AviaryPL wyjaśnił w wypowiedzi dla Dziennika Internautów, że cała treść kanałów RSS wyświetlanych w Firefoksie (1.x i 2.0 beta) jako dynamiczne zakładki oraz w podglądzie kanału RSS w Firefoksie 2.0, traktowana jest jako zwykły tekst. Znaczniki HTML są przy tym odfiltrowywane, a JavaScript w RSS nie jest dostępny w ogóle.
- Opisane zagrożenie w żaden sposób nie dotyczy więc mechanizmów związanych z obsługą RSS wbudowaną w Firefoksa - podsumowuje Stępień.
Również przedstawiciele Opera Software zapewnili nas, że ich przeglądarka jest w 100% bezpieczna, gdyż w tworzeniu widoku wiadomości RSS nie wykorzystuje się żadnego środowiska skryptowego. Jak czytamy w przekazanej nam przez Annę Rajsman z Opera Software wypowiedzi jednego z pracowników firmy: "Niezależnie jak bardzo się starasz, nie możesz złamać Opery przez RSS".