Sécurité des flux RSS

[luluwind]

Bonjour à tous,

Je vois actuellement que de plus en plus de site propose des liens d'informations RSS, et on peut les lirent aussi bien sous Linux que sous Windows ou Mac. Mais je me pose une question, qu'en est-il de la sécurité de ces liens? En effet, un site piraté pourrait avec ca créer un lien avec l'ordinateur, une voie de passage en fait, qui pourrait servir aux virus et surtout trojan. De plus, cela ouvre un port en permanence, qui pourrait servir comme entrée. Utiliser les RSS n'est-il pas risqué?

Qu'en pensez-vous?

[stephcomeon]

En matière de sécurité et de port ouvert, tout dépend toujours de qui écoute sur ton port. Si ton programme comporte des failles et que tu reçois de quoi exploiter ces failles, effectivement c'est dommage.

PS : Je ne sais pas quel port utiliser RSS, mais je pense que c'est le port 80 (corrigez moi si je me trompe ... ).

[pierre-yves]

Je ne comprends pas où est le problème. Un fichier RSS est une simple suite de titres, et de lien vers des pages internet. En lui même le RSS ne peut contenir de fichier exécutable.
Evidemment si le RSS pointe vers des pages vérolées, celles ci pourraient exploiter une éventuelle faille de sécurité du programme d'affichage de la page. Mais ce problème n'est pas lié à la technologie RSS.

[stephcomeon]

Juste une question Pierre-Yves parce que je ne m'y connais pas trop en attaques et autres exploits.

J'ai un programme qui écoute sur un port. Il est tellement mal codé qu'il interprète parfois mal certains flux composés juste de titres et de liens (il faut imaginer ). Est-ce-que cela peut être une faille de sécurité ? Est-ce-que quelqu'un peut alors l'exploiter pour exécuter du code ? Ou est-ce-que ça va juste faire planter mon programme sans autre conséquence ?

[Téthis]

Un lecteur de flux RSS n'ouvre aucun port sur la machine, en tout cas pas comme un serveur ftp ou http : il est y a bien établissement d'une connection afin de récupérer le fichier (sur le port 80 de la machine cible) mais après cela la connection est terminée, et on en parle plus.

Il faudrait voir comment réagit le lecteur à un feed malformé pour savoir si il est possible d'exécuter du code ou de faire planter le programme. Et ça, *tous* les programmes sont susceptibles de mal réagir à des données malformées, c'est pas une exclusivité liée aux feed RSS.

[stephcomeon]

Ok, merci pour ces éclaircissements Téthis.

Donc, pour luluwind, à partir du moment où un programme écoute sur un port, tu peux courir un risque. Après tu peux soit être parano, soit avoir confiance dans ton programme, soit, encore mieux , utiliser un programme libre qui, bénéficiant à la fois de l'ouverture de son code et du travail collaboratif, est susceptible de voir ses éventuelles failles découvertes et corrigées très rapidement .

[JoKoT3]

Pour résumer :

- il y a autant de risque de cliquer sur un lien pointant vers un fichier vérolé en naviguant sur le web qu'en parcourant un flux rss

- un aggregateur de flux (logiciel ou application web ou encore extension) n'écoute pas un port, il se connecte et récupère le(s) flux lorsque l'on lui demande ou lorsque c'est programmé (toute les 5 minutes par exemple)

- c'est le port 80 qui est utiliser comme pour la majorité des pages web (445 si c'est en https)

- Le code contenu dans les flux n'est pas executé, il est lu !

pour voir à quoi ressemble un flux rss, regardez donc le flux général de framasoft (un exemple comme un autre) ou encore celui de mozilla-europe-fr (firefox vous montrera la « construction » du flux)