Gli RSS sono sicuri? Interessante domanda...
Leggo oggi sul blog di Sky TG24 questa domanda: Gli RSS sono sicuri?
Il buon Marco scrive
Per noi 5% della popolazione Internet che usiamo gli RSS, sono uno strumento insostituibile.
Non ci sono però molti approfondimenti sugli eventuali rischi di sicurezza e vulnerabilità di questo tipo di documento, basato su XML.
Marco rimanda poi ad un post di Nicola D'Agostino.
Nicola nel suo articolo ripercorre alcuni dei concetti fondamentali che sono stati discussi per aumentare la sicurezza di un feed, argomenti che più volte ho ripreso anche su RSS World: dal pericolo di spyware alla scelta di adottare password ed account per garantire feed maggiormente sicuri.
Ho trovato l'articolo di Nicola una piacevole lettura, tuttavia c'è un passaggio fondamentalmente errato
Lo scherzo, poi analizzato in dettaglio sul blog, è stato soprattutto una prova di sicurezza dei programmi usati per leggere i feed RSS: se sono apparsi gli ornitorinchi significa che se viene accettato ed eseguito HTML da qualsiasi fonte senza controlli o autorizzazioni il programma non è sicuro.
In realtà, di per sé, il formato RSS (e questa volta parlo di RSS e non di Atom) è decisamente sicuro.
Come faccio ad esserne certo? Semplice, poiché di fatto è vietato l'uso di tag HTML e questo esclude completamente l'ipotesi di caricare contenuti esterni.
Dove sta il trucco?
Altrettanto semplice. Lettori per feed sempre più zelanti hanno poco per volta portato all'abitudine di distribuire full text feed e tutto ciò ha portato alla diffusione di tag HTML anche nei tag description di file RSS.
In poche parole, in barba alle specifiche, tutti hanno preso l'abitudine di farcire i feed con il mondo dentro ed i lettori si sono parzialmente adeguati.
Si è quindi creata una situazione pericolosa dove si sta seguendo una strada adattando alla carlona delle strutture di dati ad ospitare dati per i quali non erano state studiate.
I risultati sono ovviamente pericolosi ed imprevedibili.
Se io progetto una cisterna per contenere dell'acqua e la piazzo al centro di una centrale a pannelli solari non ci sono particolari problemi.
Se poi io cambio prendo l'abitudine di mettere benzina dentro a questa cisterna senza che fosse progettata allo scopo e dunque prima di protezioni, ecco allora che chissà cosa mai succederà a quella cisterna quando i raggi solari concentreranno una quantità di calore tale che si superi la soglia di sicurezza... giusto?
Ah, dimenticavo... il tuo feedreader è sicuro?
0 TrackBacks
Listed below are links to blogs that reference this entry: Gli RSS sono sicuri? Interessante domanda....
TrackBack URL for this entry: http://www.simonecarletti.com/mt4/mt-script-tb3.cgi/388
3 Comments
Leave a comment
Disclaimer:
SPAM comments or messages posted just in order to take advantage of search engines popularity might be removed without any notice.
Comments are filtered against Akismet antispam service, keyword filters and blacklists.
Cerca nel Blog
Annoiato delle solite ricerche? Prova un tag cloud!
FeedBurner Network
Questo blog è parte del network Web Marketing e Motori di ricerca (a FeedBurner Network).
Scopri di cosa si tratta (sì, lo so, il post introduttivo è un po' lungo...)
Non perderti gli aggiornamenti
Sottoscrivi il feedNon conosci i feed RSS? Hai paura che sia una fregatura? Questa breve presentazione fa al caso tuo... prenditi 5 minuti, è divertente! :)
servizi e curiosità
Aggiungi il blog al tuo elenco di preferiti su Technorati.
Ultimi commenti
Ultimi post
- Benvenuto Ruby.HTML.it
- The SuckRank ®
- Quale framework PHP utilizzare?
- Libro Ship it! A Practical Guide to Successful Software Projects
- C'è (34.821) posta per te
- Versione evoluta dei Google Sitelinks: sitelinks e form di ricerca
- Guida completa a Google AdSense
- Libro TextMate - Power Editing for the Mac
- Convertire un feed da RSS 0.91 a RSS 2.0
- Blogger, iscriviti al tuo feed!
Movable Type 4.1
Ringrazio della segnalazione e mi permetto un piccolissimo appunto: il testo originario non è un post ma un -seppur breve e con tutti i limiti del caso- articolo, uscito originariamente lo scorso anno sulle pagine della discussa Hacker Journal.
Ciao Nicola,
in realtà di per sé il tuo resumé è decisamente interessante.
Ho solo espresso il mio punto di vista su un concetto IMHO fondamentale.
Troppe volte si giudica una tecnologia non sicura solo perché chi la usa non segue quanto imposto. :)
Segnalo che ne parlano anche Salvatore e e Exploit.
http://exploit.blogosfere.it/2006/05/rss_feed_possib.html
http://www.salvatore-aranzulla.com/?p=582
Nessun problema Simone, anzi. Sono il primo a contare sul fatto che in quanto scritto ci sia sempre una percentuale di inesattezze: la speranza come autore ma anche come lettore è che questa percentuale sia il più possibile prossima allo zero. ;-)
Il mio appunto era sull'origine del pezzo, che non nasce come originale su un sito o blog ma come articolo proposto a e poi edito su rivista e solo ora riproposto online.
Grazie per l'attenzione e per gli interessanti commenti.
nda