Les flux RSS sont de plus en plus utilisés par les internautes qui aiment gagner du temps.
Petit rappel pour les retardataires (oui, ceux qui sont au fond, là, qui écoutent jamais, je vous ai vu, hein ?), un site diffusant un flux RSS (pour Really Simple Syndication, mais également appellé Rich Site Summary) va diffuser à travers un fichier XML (eXtensible Markup Language) un flot d’informations qui seront alors récupérées par un lecteur prévu à cet effet.
Utilisé essentiellement par les sites d’actualités (Infos-du-Net possède lui aussi son flux RSS), il permet de récupérer en un clin d’oeil les informations importantes diffusées par le site.

Microsoft Internet Explorer 7 intégrera nativement un lecteur de flux RSS, ce qui va largement contribuer à populariser ce système dans le monde, IE étant le navigateur le plus utilisé à l’heure actuelle.

Mais des experts redoutent que cette popularité ne contribue également à attirer l’attention des pirates...

La crainte vient en fait de la similarité entre un lecteur de fil RSS et un client mail.
Les clients mails étant souvent victimes d’abus de la parts de pirates, il pourrait alors en être de même avec certains lecteurs RSS.

Si le format n’est pas encore assez répandu pour attirer l’attention, certains experts craignent que la popularité que pourrait lui apporter son intégration à Internet Explorer ne l’expose à un danger potentiel.
Les fils RSS pourraient alors être victimes d’attaques de la part de spammeurs, ou plus grave, de la part de spywares ou de virus.

Le format est déjà assez largement dans les entreprises, et il pourrait devenir une référence dans son domaine.
Les conséquences d’attaques massives pourraient être dramatiques.

Mais le plus inquiétant ne vient pas de la diffusion d’information par flux RSS, mais plutôt des services d’agrégation tiers de ces flux RSS, qui les génèrent à partir ce sites web qui ne publient pas les informations à ce format.

Il n’y a cependant pas lieu de s’alarmer pour l’instant, aucune faille portant sur un flux ou un lecteur RSS n’ayant été exploitée à l’heure actuelle.

Source : ZDNet

C'est rai que du XML direct dans la navigateur c'est moyen surtout dans un produit de chez microsoft !

Si certains craignent qu'il y aura des problèmes quand beaucoup l'utiliseront, c'est qu'il y a déjà beaucoup de failles dans le système (mauvaise conception)... Les "experts" ne seraient-ils pas de chez Microsoft ?

Tu m'expliques la faille qu'il peut y avoir dans du RSS ?

Quand je fais un flux RSS, à chaque modication j'ouvre un fichier, j'écris dedans, je le referme, tout ca en PHP à l'ajout de la news (c-a-d en "territoire admin" ). Où est le vert ?

De plus, comment peut-on envoyer un virus dans du XML ? C'est pas vraiment possible non plus. Le risque, ce serait qu'un client RSS (comme, par exemple, au hasard, IE7) soit si mal codé qu'il intègre des failles de sécurité (exemple : "<linux>haha</linux>" fait rebooter l'ordinateur).

Ouais le buffer overflow peut plutôt provoquer un crash, mais bon comme là c'est en rapport avec une URL donc peut-être qu'une url se glisse sur une autre mais c'est peut probable. Le problème est surtout que c'est un cas imprévu, donc on ne sait pas trop ce que ça peut provoquer (même si les probabilités que ça ouvre une faille soient extrêmement faible)

Noté que le seul moment où on parle de faille sur le RSS c'est en parlant aussi de IE7...

Moi j'ai plus peur que IE7 utilise un parser XML Mde By MS et qu'il soit assez bugué de partout, d'où le risque se rapportant aux flux RSS.

Le RSS en lui même n'est pas "bugué" puisqu'il utilise le XML, ce n'est à la base que du texte avec une mise en forme textuelle permettant à n'importe quel client de pouvoirl e traiter, si un malin balance un virus ans le flux RSS avec une mise en forme connu pour buguer dans IE7, il est alors possible de se retrouver avec un jolie ver ou spyware aussi efficasse que les autres.

[troll on]Mozilla c'est bien (comme linux)[/troll off]

C'est comme dire que la touche ¨ écris vingt fois va faire planté Internet Explorer.

Et comme par hasard j'aurai anoncé que les clavier latin francais serai grandement a risque. a coup sûr j'aurai raisons. Mais l'informations elle ... ouf.