CIO Premium Job & Karriere Eksperten IT-Kurser Events Søg

RSS læsere i hackernes søgelys

Brugere af web feeds som Real Simple Syndication (RSS) og Atom skal tjekke en ekstra gang, at de ikke downloader ondsindet kode, når de henter feeds fra deres favoritsteder på nettet.

22. februar 2007 kl. 12.31
IDG News Service

Det er den stigende brug af web-feed-læsere og væksten i indholds-samlende tjenester på nettet, der giver hackere en simpel adgang til at placerer ondsindet kode, der kan opsnappe kodeord, installere trojanske heste eller vira på brugernes computere.

Web 2.0 gør problemet større
Advarslen kommer fra vicedirektør i sikkerheds-analysefirmaet Authentiom, Ray Dickinson.

”De, der laver ondsindet kode, udnytter bare mulighederne i at vi i web 2.0 bliver forbundet til hinanden gennem et hav af netværk. De kan distribuere deres kode effektivt gennem disse netværk,” siger han.

Web-feed tjenester som RSS giver mulighed for at samle informationer fra flere kilder og automatisk sende dem til computere uden at brugerne selv har besøgt nogen af de hjemmesider, som koden kommer fra.

Feed-læsere tjekker jævnligt feeds for opdateret indhold, som derefter sendes automatisk til de brugere der abonnerer på indholdet via deres feed-læsere.

”Sikkerhedsproblemet opstår, fordi mange RSS- og Atom-læsere ukritisk og ufiltreret henter indholdet. De tjekker ikke indholdet for ondsindet kode,” siger Mcihael Sutton fra net-sikkerhedsfirmaet, SPI Dynamics og fortsætter:

”Det er som ethvert andet sikkerhedsproblem ved web-applikationer. Problemet bunder i, at input fra brugeren uden videre bliver godkendt uden yderligere sikkerhedstjek. Det er et stort problem. Både server- og klientsiden antager at folk ikke bruger det til andet end det var tiltænkt.”

Hackere går efter blogs
Det er en forholdsvis nem sag for hackere at udnytte feeds til at distribuere ondsindet kode. Det kan gøres ved at placere et ondsindet JavaScript på en blog.

Hvis bloggens RSS feed er indstillet til at levere kommentarer som en del af feedet, bliver koden distribueret til alle abonnenterne.

En hackere kan også forsøge at få et inficeret blogfeed optaget af nogle af nettets indholdssamlende tjenester, der videresender indholdet til deres abonenters web-feed-læsere.

Hackerne er begyndt at få et godt øje til blog-feeds. En analyse fra Authentiom viser at ud af en stikprøve på 60.000 stykker ondsindet kode indeholdt de 1000 ordet ”blog” i deres webadresse.

Oversat af Christian Carlsen


Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Derfor kan Apples dristige processor-revolution give Mac'en længeventet renæssance - men det kan også blive dødsstødet
0 Premium-indhold

ProData Consult vinder DSB-udbud til 400 millioner kroner
Bliv medlem nu

Få adgang til eksklusivt Premium-indhold, kun for abonnenter

12 måneder for kun 1.995kr

Læs mere om Premium
Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
Mest læste:



Navnenyt fra it-danmarkVis alle »
Jonas Torstensson
Jonas Torstensson
Pia Munck
Pia Munck
Lynn Looft Harpøth
Lynn Looft Harpøth
Ana Marques
Ana Marques

Emil Sofus Hansen
Emil Sofus Hansen
Tommy Zwicky
Tommy Zwicky
Tage Rasmussen
Tage Rasmussen
Liselotte Kahns
Liselotte Kahns


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Digital HowTo: Sikkerhedstrusler

Under corona-krisen er antallet af cybertrusler steget med 33 procent. Det er særligt phishing-angreb, som oversvømmer mange virksomheder i de her dage. Corona-virussen har skabt en ny mulighed for at lokke uopmærksomme internetbrugere til at klikke på inficerede links. Nogle virksomheder oplever at op mod halvdelen e-mails, der sendes til dem, kommer fra it-kriminelle.

19. august 2020 | Læs mere

Digital HowTo: ERP – få optimal udnyttelse af dine store mængder af værdifulde data i den digitale transformation

Få indblik i, hvordan alle virksomheder kan optimere deres kritiske processer og hvordan du realiserer det uforløste potentiale gennem denne procesoptimering. Du får indsigt i forretnings-processer, digital værdiskabelse og teknologi, der har hjulpet mange virksomheder på vej med deres digitale transformation.

20. august 2020 | Læs mere

Digital HowTo: Fremtidens It service management - optimer dit setup med de nyeste teknologier

Det er vigtigere end nogensinde at have styr på kerneopgaverne i virksomhedens it-drift. Fra monitorering af systemerne til udrulning af applikationer, håndtering af service desken og alle udfordringerne med it-sikkerheden. Kom og bliv klogere på mulighederne for automatisering og optimering med ITSM og den nyeste robotteknologi.

21. august 2020 | Læs mere

Alle events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »

Tina Borgbjerg

Jens Brinksten

Henrik Larsen

Thomas Madsen

Lars-Bo Klausen

Jim Nielsen

Mikkel Ulstrup

Mikkel Heltborg Terp
opinion
Tina Borgbjerg
Debat: Vil dit teknologiindkøb løse problemer eller skabe nye?
Læs indlæg
mest debatterede artikler
8
85 danskere har meldt sig smittet i statens Smittestop-app
Smitteopsporings-appen, Smittestop, er downloadet af mere end en halv million danskere i den første uge af appens levetid. 85 personer har registreret sig som smittet i appen. Se debat

5
Tidligere Intel-udvikler: Derfor besluttede Apple sig for at droppe Intel
Det har vakt opsigt, at Apple har besluttet at droppe sin mangeårige samarbejdspartner Intel som leverandør af chip til Mac. Årsagen var helt konkret, fortæller tidligere Intel-topudvikler. Se debat

4
Konkurrenter til Nets er ikke tilfredse med ny dankort-model
Den nye dankort-model bliver mødt med skarp kritik fra konkurrenter til Nets. De mener, at Nets får urimelige fordele med aftalen. Se debat

3
Google vil fremover slette indsamlede brugerdata automatisk - efter 18 måneder
Google vil fremover kun gemme data om, hvor du befinder dig, i 18 måneder, inden oplysningerne automatisk slettes. Se debat

2
Rigspolitiet begår databommert: Har glemt at slette aflyttede advokatsamtaler
En stikprøvekontrol viser, at 15 procent af de advokatsamtaler, der optages som en del af politiets aflytning af mistænkte personer, og som bør slettes, ikke er blevet det. "Det er meget beklageligt, at vi kan konstatere, at det øjensynligt ikke er sket fuldt ud," lyder det fra rigspolitichefen. Se debat

Mest læste klummer og blogs
Netværkets betydning for it-sikkerhed er stærkt undervurderet
Klumme: Virksomhedens netværk er det universelle stof, der driver mulighederne for at koble sig på, opnå høj sikkerhed og levere nye og effektive applikationer. Der er ikke råd til at vente med at erkende, at netværket vitterlig er DNA’et i moderne sikkerhed, i clouds såvel som i apps.
Af: Lars-Bo Klausen
Nu er det sommer: Men du kan ikke slappe af - se her hvordan de cyberkriminelle vil forsøge at narre dig
Klumme: Endelig. Sommerferien står for døren og mange af os kan lægge en hektisk og anderledes periode bag os – noget ingen af os har prøvet før. Kan vi så læne os tilbage og slappe af? Svaret giver vist sig selv.
Af: Henrik Larsen
Er du klar til it-outsourcing i en post-corona tid?
Når man arbejder med it-outsourcing/nearshoring, så er denne tid utrolig spændende, for der sker rigtig mange ting rundt om i verden.
Af: Jens Brinksten
opinion
Thomas Madsen
Karantænen gav de introverte en revival. Men nu kommer møderne igen. Uaks!
opinion Jens Brinksten
Er du klar til it-outsourcing i en post-corona tid?
Læs indlæg

Premium
Derfor kan Apples dristige processor-revolution give Mac'en længeventet renæssance - men det kan også blive dødsstødet
ComputerViews: Gennem det seneste årti har Apples Macs stået i skyggen af iPhonen og iPaden, men beslutningen om at smide Intel på porten og udvikle sine egne chips kan få helt afgørende betydning for Macens fremtid.
Læs mere »
ProData Consult vinder DSB-udbud til 400 millioner kroner
Spritny app giver danske patienter adgang til videokonsultationer og selvbooking på hospitaler
Den danske revisiorplatform Ageras reagerer på politianmeldelse: Nogle revisorer udnyttede forretningsmodellen
Se alle »
Computerworld
Tidligere Intel-udvikler: Derfor besluttede Apple sig for at droppe Intel
Det har vakt opsigt, at Apple har besluttet at droppe sin mangeårige samarbejdspartner Intel som leverandør af chip til Mac. Årsagen var helt konkret, fortæller tidligere Intel-topudvikler.
Læs mere »
Microsoft lukker alle sine fysiske butikker i hele verden permanent
Dansk regntøjs-gigant mister syv millioner ved stort hackerangreb
Windows 10-computere kan crashe efter opdatering tidligere på måneden
Se alle »
CIO
Hvilke skurke og helte vil du huske fra coronakrisen? Her er mine...
Computerworld mener: Coronakrisen har skabt skurke og helte. Hvem er dine - og hvad tager du med dig fra krisen?
Læs mere »
Podcast: Pandoras CIO Peter Cabello afslører sine tre vigtigste mål for digitaliseringen
"Så kan det godt være, at der er noget teknologigæld bagefter, men lige nu kan vi gøre rigtigt meget - og vi kan gøre det hurtigt"
CIO Lars Bo Hassinggaard: "Ud over alle de sensorer der er bygget ind i vores nye fabrikker, så har vi også lavet et samarbejde med Aarhus Universitet hvor vi putter sensorer på vores net og trawlere."
Se alle »
Job & Karriere
10 spændende lederstillinger, som er ledige netop nu
Der er stadigvæk mange ledige it-job. Vi har fundet en række spændende lederstillinger, som du kan søge med det samme.
Læs mere »
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Har du sort bælte i it-projektledelse? Så har vi fundet 10 ledige stillinger, som du kan søge netop nu
Her er 10 spændende jobopslag, hvis du er på jagt efter en QA-stilling
Se alle »
White paper
Hvad skal der til for at opgradere fra Dynamics AX til 365?
En del virksomheder står - eller vil snart stå - over for et vigtigt valg. Skal vi opgradere fra Microsoft Dynamics AX til 365? I denne folder kan du se, hvordan du får det bedste beslutningsgrundlag med en struktureret proces for at analysere, klassificere og afveje alle de vigtige aspekter. DU FÅR BLANDT ANDET SVAR PÅ DISSE SPØRGSMÅL: • Hvorfor er forarbejdet vigtigt? • Hvilke områder skal afdækkes? • Hvordan kommer jeg i gang?
Læs mere »
Sådan kan du arbejde effektivt uanset tid, sted og type af enhed
Sådan opbevarer du effektivt og sikkert dine data – også med hybrid cloud
Få arkitekturen på plads uden omfattende specialtilpasninger eller kodefærdigheder
Se alle »

Events
Flere events »
White papers
Flere white papers »
Uddannelse
Se alle kurser »