MS開発者、RSSのセキュリティ対策を解説

[ITmedia]

　ハッカーカンファレンスでRSSのセキュリティリスクが指摘され、RSSコミュニティーで議論を呼んでいる。Microsoftはこれを受けて、同社のRSSセキュリティ対策について説明した。

　先週開催されたBlack Hat Briefingsで、セキュリティコンサルティング企業SPI Dynamicsの研究者は、フィードに不正なJavaScriptを埋め込んでRSS経由で配信する「RSSインジェクション」という攻撃手法について解説した。

　研究者らは、RSSクライアントはフィードを介して配信されるコンテンツを信用しすぎていると指摘、不正なコンテンツがフィードに含まれていても、多くのRSSクライアントはそれを防げないと主張した。

　MicrosoftのRSS担当チームはこれに対し、Internet Explorer 7（IE 7）およびWindows RSS Platformで実装しているフィード内の不正スクリプトへの対処策について8月7日付の公式ブログで説明している。

　同社の対策の1つが「Sanitization（消毒）」だ。RSS Platformはフィードをダウンロードする際に、フィードを「消毒」プロセスに通し、HTMLフィールドのスクリプトを取り除いている。このような対策が施されてから、IE 7のFeed Viewなどのアプリケーションがフィードコンテンツにアクセスできるようになるという。

　またIE 7 Feed Viewはどこから来たフィードでも制限付きサイトゾーンで表示する。このゾーンではデフォルトでスクリプトが無効化されている。

　さらにIEを自分のアプリケーションでホスティングしている開発者に対し、Microsoftはホストアプリケーションにカスタムセキュリティマネージャを実装するよう勧めている。これにより、どのURL Actionを許可するかをアプリケーションが制御できるようになるという。