Leggo oggi sul blog di Sky TG24 questa domanda: Gli RSS sono sicuri?
Per noi 5% della popolazione Internet che usiamo gli RSS, sono uno strumento insostituibile.
Non ci sono però molti approfondimenti sugli eventuali rischi di sicurezza e vulnerabilità di questo tipo di documento, basato su XML.
Marco rimanda poi ad un post di Nicola D'Agostino.
Nicola nel suo articolo ripercorre alcuni dei concetti fondamentali che sono stati discussi per aumentare la sicurezza di un feed, argomenti che più volte ho ripreso anche su RSS World: dal pericolo di spyware alla scelta di adottare password ed account per garantire feed maggiormente sicuri.
Ho trovato l'articolo di Nicola una piacevole lettura, tuttavia c'è un passaggio fondamentalmente errato
Lo scherzo, poi analizzato in dettaglio sul blog, è stato soprattutto una prova di sicurezza dei programmi usati per leggere i feed RSS: se sono apparsi gli ornitorinchi significa che se viene accettato ed eseguito HTML da qualsiasi fonte senza controlli o autorizzazioni il programma non è sicuro.
In realtà, di per sé, il formato RSS (e questa volta parlo di RSS e non di Atom) è decisamente sicuro. Come faccio ad esserne certo? Semplice, poiché di fatto è vietato l'uso di tag HTML e questo esclude completamente l'ipotesi di caricare contenuti esterni.
Dove sta il trucco? Altrettanto semplice. Lettori per feed sempre più zelanti hanno poco per volta portato all'abitudine di distribuire full text feed e tutto ciò ha portato alla diffusione di tag HTML anche nei tag description di file RSS.
In poche parole, in barba alle specifiche, tutti hanno preso l'abitudine di farcire i feed con il mondo dentro ed i lettori si sono parzialmente adeguati.
Si è quindi creata una situazione pericolosa dove si sta seguendo una strada adattando alla carlona delle strutture di dati ad ospitare dati per i quali non erano state studiate.
I risultati sono ovviamente pericolosi ed imprevedibili.
Se io progetto una cisterna per contenere dell'acqua e la piazzo al centro di una centrale a pannelli solari non ci sono particolari problemi.
Se poi io cambio prendo l'abitudine di mettere benzina dentro a questa cisterna senza che fosse progettata allo scopo e dunque prima di protezioni, ecco allora che chissà cosa mai succederà a quella cisterna quando i raggi solari concentreranno una quantità di calore tale che si superi la soglia di sicurezza... giusto?
Ah, dimenticavo... il tuo feedreader è sicuro?