缺乏基本安全机制 博客恐成为黑客帮凶？

CNET科技资讯网8月7日国际报道 一名安全专家警告称，通过大受欢迎的RSS 或Atom feed 阅读博客会使计算机用户受到攻击。

上周四在Black Hat 会议上发言时，Web 安全厂商SPI Dynamics的安全工程师鲍勃表示，黑客可以在传输给用户的内容中插入恶意JavaScript代码。

Dynamics说，这一问题不仅仅只影响博客，采用任何格式的任何信息feed都可能被用来向用户传输恶意内容，例如，通过RSS 订购邮件列表和新闻服务的用户。Dynamics还指出，它影响到“所有的Web feed”。

SPI Dynamics调查了多种用来阅读RSS 和Atom feed 的在线或离线应用软件。在多种情况下，在feed上传播的JavaScript代码能够在用户的PC上运行，这意味着用户的PC可能遭受攻击。

专家称，JavaScript这种脚本语言正在越来越被认为是一种安全担忧。

黑客可以通过建立恶意博客，并引诱用户订阅该RSS feed而利用这一问题兴风作浪。但是，黑客攻击用户的一种更为可能的方式是在用户信赖的博客的评论上添加恶意JavaScript代码。

鲍勃说，许多博客都会将评论加入到自己的RSS feed中。

他表示，黑客也可以向提供RSS 或Atom feed 的邮件列表发送恶意代码，并控制有缺陷的系统。

Feed的应用非常普遍，因为它使用户能够在一个应用中整合多个网站上的信息，消除了用户需要访问多个网站的麻烦。

鲍勃指出，许多流行的feed阅读软件都是有缺陷的，因为设计者没有部署重要的安全机制。特别是，feed阅读软件应当不允许feed的执行。

另外，一些Windows 平台上的feed阅读软件使用IE显示feed内容，而没有部署隔离这些内容的基本安全机制。JavaScript直接被下载到PC上，并获得最高的运行权限，这就可能使用户的PC受到黑客攻击。（编辑：孙莹）