RSSに埋め込まれる困ったヤツ

悪意あるRSSのフィードはそうは現れないかもしれないが悪事を働くRSSのフィードは現れるかもしれない。いや、現に現れた。

RSSのセキュリティはどうなっている？(ITmedia)

ITmediaの記事を書いたJim Rapozaは未だ実被害を受けていない様だが、私は受けた。以前のCookieの上限値は１サイトあたり20個、全部で300個ですと言う記事で書いた事件だ。金儲けを企む輩はRSSフィードに広告をはさむと言う挙に出た。これは遅かれ早かれ行われるだろうとは思っていた事だ。はさむだけでは満足出来ない亡者達は誰にどれだけ読まれたのかを測ろうとし出す。これも予測出来なかった事ではない。だが金に目が眩むと自分の都合の良い事しか考えず他人がどうなろうと知った事ではないと言う事をしでかす。その結果がRSSフィード内へのimg要素の埋め込みだ。RSSフィードの内容を表示しようとしたサーバサイドのRSSリーダーサービスを表示しているブラウザは律儀にimg要素の解決をしだす。その結果、そこに指定された実際はCGIを指すURLは画面上にはそれと分からない小さいイメージを返すものの、それと同時に上記の行動追跡の為にcookieを喰わせる。このcookieがサブドメインまで変えて山の様にブラウザが受け取ってしまうから古いcookieが全て押し出されて消えてしまうのだ。

私の場合は１週間に１度程度の頻度で訪問するサイトのアカウントcookieが消され、ちょっと訪問間隔が開いたサイトの個人設定cookieが皆殺しの憂き目に遭った。なんたる暴挙であろうか。これは実被害。

もう一つは昨日出くわした現象。今やニュース系サイトがRSSフィードを用意するのはほぼ常識となっている。ご多分に漏れずいくつかのサイトのフィードを登録してあるのだが、昨日RSSリーダーで取得した時、あるサイトの新着記事は20個程度と表示された。ところがそれを開いてげんんなりした。４個に１個広告が挟まり、広告の２個に１個が同じ広告なのだ。本当にうんざりした。

cookieの件はブラウザの設定をオリジナルサイトのcookieのみ許すに設定してそこそこ落ち着いた。が、上記の様な事がこれからも色々起きる様であればRSSフィードは一旦ProxyCGIを通して広告絡みの情報は皆殺しにする事もありだと思う。

て言うか、本当に続いたら作る。