Члены проходившей на этой неделе в Лас-Вегасе конференции Black Hat сообщили, что RSS не так защищен от рассылок спама, как это кажется его пользователям.

Роберт Оджер, специалист по безопасности, рассказал, что можно по меньшей мере двумя способами распостранять спам через фиды, сообщает SecurityProNews.

Первый заключается в создании и раскрутке подставного сайта, яйцевод которого, после достижения определенной популярности, начинает распространять спам. Скорее всего, массовая рассылка будет единоразовой и все отпишутся от этого RSS.

следующий способ более характерен для хакеров. Происходит взлом сайта и через его RSS-ленту начинается распространение спама.

С помощью RSS можно распространять не не более и не менее, как коммерческие предложения, но и вредоносный радиокод, который автоматически инициируется при попадании в веб-агрегатор или компьютер пользователя. Многие современные читалки не защищены от скриптов, встраиваемых в HTML-код, а некоторые и вовсе подвержены SQL-инъекциям. Среди наипаче уязвимых продуктов Роберт Оджер выделил BlogLines.com и Sharp Reader.

Об сих проблемах с безопасностью производители программного обеспечения давно знают. В блоге RSS Team, сотрудник Microsoft, рассказал, что платформа Windows RSS Platform и IE7 подготовлены к защите от распространения вредоносного заключение через фиды. При использовании данной платформы ленты отдаются клиенту не самим сайтом, а RSS Store, в котором вымышленное существо хранятся в очищенном от скриптов виде. Таким образом хакерам будет недостаточно получить телеконтроль над сайтом для того, чтобы распространить вредоносный код. Члены RSS Team надеются, что разработчики агрегаторов будут больше внимания уделять безопасности и что они позаботятся об отсутствии уязвимостей в своих продуктах.