CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

RSS læsere i hackernes søgelys

Brugere af web feeds som Real Simple Syndication (RSS) og Atom skal tjekke en ekstra gang, at de ikke downloader ondsindet kode, når de henter feeds fra deres favoritsteder på nettet.

22. februar 2007 kl. 12.31
IDG News Service IDG News Service

Det er den stigende brug af web-feed-læsere og væksten i indholds-samlende tjenester på nettet, der giver hackere en simpel adgang til at placerer ondsindet kode, der kan opsnappe kodeord, installere trojanske heste eller vira på brugernes computere.

Web 2.0 gør problemet større

Advarslen kommer fra vicedirektør i sikkerheds-analysefirmaet Authentiom, Ray Dickinson.

”De, der laver ondsindet kode, udnytter bare mulighederne i at vi i web 2.0 bliver forbundet til hinanden gennem et hav af netværk. De kan distribuere deres kode effektivt gennem disse netværk,” siger han.

Web-feed tjenester som RSS giver mulighed for at samle informationer fra flere kilder og automatisk sende dem til computere uden at brugerne selv har besøgt nogen af de hjemmesider, som koden kommer fra.

Feed-læsere tjekker jævnligt feeds for opdateret indhold, som derefter sendes automatisk til de brugere der abonnerer på indholdet via deres feed-læsere.

”Sikkerhedsproblemet opstår, fordi mange RSS- og Atom-læsere ukritisk og ufiltreret henter indholdet. De tjekker ikke indholdet for ondsindet kode,” siger Mcihael Sutton fra net-sikkerhedsfirmaet, SPI Dynamics og fortsætter:

”Det er som ethvert andet sikkerhedsproblem ved web-applikationer. Problemet bunder i, at input fra brugeren uden videre bliver godkendt uden yderligere sikkerhedstjek. Det er et stort problem. Både server- og klientsiden antager at folk ikke bruger det til andet end det var tiltænkt.”

Hackere går efter blogs

Det er en forholdsvis nem sag for hackere at udnytte feeds til at distribuere ondsindet kode. Det kan gøres ved at placere et ondsindet JavaScript på en blog.

Hvis bloggens RSS feed er indstillet til at levere kommentarer som en del af feedet, bliver koden distribueret til alle abonnenterne.

En hackere kan også forsøge at få et inficeret blogfeed optaget af nogle af nettets indholdssamlende tjenester, der videresender indholdet til deres abonenters web-feed-læsere.

Hackerne er begyndt at få et godt øje til blog-feeds. En analyse fra Authentiom viser at ud af en stikprøve på 60.000 stykker ondsindet kode indeholdt de 1000 ordet ”blog” i deres webadresse.

Oversat af Christian Carlsen




Navnenyt fra it-danmarkVis alle »
Martin Knifström Gjessing
Martin Knifström Gjessing
Mikkel Jørgensen
Mikkel Jørgensen
Brian Korntved
Brian Korntved
Jonas Wilner Hansen
Jonas Wilner Hansen

Rickard Hohenthal
Rickard Hohenthal
Kasper Bremerskov
Kasper Bremerskov
Melissa Høegh Marcher
Melissa Høegh Marcher
Pia Kampel
Pia Kampel


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Computerworld Cyber Briefing

Computerworld giver dig hver måned 30 minutter med de nyeste cybertrusler, konkrete angreb og brugbare råd. Få indsigt i AI og sikkerhed, compliance, risikovurdering og forsvarsstrategier. Tilmeld dig næste Cyber Briefing nu.

14. august 2025 | Læs mere

Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

19. august 2025 | Læs mere

Cyber Security Summit 2025 i Jylland

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

21. august 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Martin Kraemer
Martin Kraemer
Torben Clemmensen
Torben Clemmensen
David Guldager
David Guldager
Mogens Nørgaard
Mogens Nørgaard
Jim Nielsen
Jim Nielsen
Carl Hansson
Carl Hansson
Thomas Djursø
Thomas Djursø
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Microsoft har store problemer med AI - det kommer ikke til at gå godt
Læs indlæg
Artikel teaser billede

Martin Kraemer

Gå en sikker sommer i møde med disse syv sommer cybersikkerhedsregler

Artikel teaser billede

Torben Clemmensen

Det store dilemma lige nu: Stoler vi på amerikanerne, som vi altid har gjort, eller skal vi overveje at rykke?

Artikel teaser billede

David Guldager

Guldager: Bliver fremtidens selvkørende biler sikre nok? Vi har et foreløbigt svar nu

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Vi bør alle kende og anerkende begrebet PUM - det fylder i vores hverdag

Mest læste klummer og blogs
Guldager: Bliver fremtidens selvkørende biler sikre nok? Vi har et foreløbigt svar nu
Klumme: Hvornår kommer den vaskeægte selvkørende bil på vejene? Svaret kunne allerede været blevet givet, da Tesla endelig har fremvist sin længe ventede ’robottaxi’ på gaderne i Austin, Texas.
Af: David Guldager
Nørgaard: Microsoft har store problemer med AI - det kommer ikke til at gå godt
Klumme: Copilot er da udmærket til nogle ting, men det er jo som at køre i hestevogn i stedet for Tesla. Og så er det ved at gå op for markedet, at OpenAI slet ikke ønsker at blive det næste Microsoft, men det næste Google.
Af: Mogens Nørgaard
Det store dilemma lige nu: Stoler vi på amerikanerne, som vi altid har gjort, eller skal vi overveje at rykke?
Klumme: Danske offentlige organisationer tager endelig stilling til det monopollignende forhold, som de har med Microsoft. Spørgsmålet er, om det er realistisk.
Af: Torben Clemmensen
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Vi bør alle kende og anerkende begrebet PUM - det fylder i vores hverdag
opinion Jim Nielsen
Hvor kan vi i Danmark få mulighed for diskutere AI på den helt store klinge?
Læs indlæg

Premium
Teaser billede
Vil fyre tusindvis af ansatte globalt: Nu reagerer Microsofts danske organisation med 800 medarbejdere
Læs mere »
Staten binder sig med ny aftale til Microsoft i usædvanlig lang tid - og det er der en særlig årsag til
Pengene vælter ud af den danske Dynamics-kæmpe Cepheo i selskabets andet leveår - men forretningen buldrer frem
Du skal opdatere hurtigst muligt: Alvorlig sårbarhed opdaget i Citrix-software
Se alle »
Computerworld
Teaser billede
Danmarks største fiberselskab skifter navn: Norlys skal ikke længere hedde Norlys
Læs mere »
Glemte at fjerne adgang for suspenderet it-medarbejder: Næste dag var kunder i Tyskland og Bahrain låst ude
Amerikansk koncern med 700 ansatte i Danmark: Sender besked til kunder 21 måneder efter storstilet angreb
Aktie-kursen ottedoblet på fire år: Er nu verdenshistoriens mest værdifulde selskab
Se alle »
CIO
Teaser billede
Microsoft kæmper med at få Copilot ud over rampen – og det skyldes især én ting
Læs mere »
Her står medarbejderne for at ansætte og fyre - og det har gjort rekruttering af it-professionelle langt lettere
Rigspolitiet gør klar til stort opgør med it-evighedskontrakter: Søger hjælp fra leverandørerne
Mange CISO'er mistrives i jobbet: Nu stiller tidligere cyber security-chef i Energinet og Ørsted et kontroversielt forslag
Se alle »
Job & Karriere
Teaser billede
Fungerede ikke: Dropper AI som erstatning for kundeservice-medarbejdere - har nu brug for nye folk
Læs mere »
It-chef og halv it-afdeling fyret i forsikringsselskab på grund af kommentar om potteplante
Danske it-folk tør ikke længere skifte job hele tiden - og det er der en særlig årsag til
Itm8 fyrer: Opsiger ansatte og reorganiserer
Se alle »
White paper
Teaser billede
Sådan får du reel værdi ud af Microsoft Copilot
Læs mere »
Få reel viden om datasuverænitet og tag selv kontrollen
Sådan samler du virtualisering og containerdrift i én løsning
AI og kunderejsen: Sådan vinder du fremtidens forbrugere
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »