RSSリーダーに存在する悪用の危険性 : 管理人@Yoski

2006年08月04日

RSSリーダーに関するセキュリティ上の問題についてかかれていますが、これはなかなか難しい問題だったりします。

RSS/Atomではxhtml(html)形式のコンテンツも配信できるわけですが、その中に悪意あるコードを仕組むことはそれほど難しいことではありません、実際。

現在でも、かなりセキュリティのゆるい RSS リーダーは存在していて、クッキーを奪うことくらいであれば容易に実現できたりします。

そこでRSSリーダー側の対応としては、送信されてくる html/xhtml から「許可された安全な」タグやタグパラメーター以外をごっそり削除する必要があります。

＃<script>タグはもちろんのこと、data: や css の behavior: などに危険なものはたくさんあります。
＃余談ですが、xml の xslt が外部サーバーから読み込めないのは、このようなセキュリティ上の理由によります。

ですが、危険なタグを削除したとしても、ブラウザごとによるHTMLパーサーの違いというものが存在しています。

たとえば、

<html>
<body>

<a href="javascript:alert('Hello')>click here</a>

</body>
</html>

というコード（hrefパラメータに閉じ側のダブルクオーテーションが欠けている）は、IE で表示すれば a タグは無視されますが、Firefox ではダブルクオーテーションが自動補完されるため、クリックすれば「Hello」と表示されてしまいます。

ブラウザごとの違いまで RSS リーダーで吸収して正しい HTML コードを出力する、というのは実際問題かなり難しいことですし、かといって全文配信されているコンテンツをすべてテキストに変換してしまっては RSS リーダーの魅力が半減してしまいます。

ただ、メールと異なり、RSSは自分で登録しないと配信されないので、このニュースにあるように、リスクとしては購読サイトがハッキングされたときに悪意あるコードが配信される可能性があるある、という限定的なものになるかと思います。

その場合でも、実際にはハッキング後のホームページを閲覧してしまえば同様の罠にはまるわけですので、結論としては「まだ、それほど気にすることはない」ということになるかと思います。

※もちろんフレッシュリーダーではちゃんと気にしていて、このようなセキュリティ対策は実施しています。

このエントリーのトラックバックURL:
http://133.242.136.64/mt-tb-sf.cgi/455