Hatena::ブログ(Diary)

kokepiの日記 このページをアンテナに追加 RSSフィード

2005-09-21

bloglinesスパム」ができる

bloglinesやmyYahooのツールバーブックマークレット等をから、「このページを追加」みたいな機能を使うと、サイトのRSSフィード登録画面に、第三者のフィードが表示されることがある。

これは、現在のURLのページ内に含まれるRSSだけでなく、サービスが既にキャッシュしているフィードのうち、RSSでいう「channel-link要素」が一致するフィードを全て表示することによるもののようだ。

この仕様であれば例えば、自分で管理するRSSの「channel-link要素」を、どこか特定の(できればRSS配信をしていない)企業のホームページにして、あらかじめ両サービスに登録しておけば、無関係のユーザーがその企業のサイトで「このページを追加」機能を使った時に自分のRSSを表示させることができる。

ちょっと勤務先の会社のサイトのURLで実験してみた。ごめんなさい社長。

http://www.rootcom.jp/(勤務先だ)というサイト上で「このページを購読」機能を使ったにもかかわらず、http://********.jp/(個人的に使ってるURLだ)という無関係なフィードがまぎれこんでいる。

MyYahooでも同様のことがあった。こっちはまだ再現条件とかはよくわからない。

これは、脆弱性とはいえないが、悪意を持った人間がつけいることができる仕様じゃないだろうか? もちろん、性善説にたつならば役に立つこともある仕様かもしれないけれど、、、。

ちょっとまだ「悪い仕様だ」と言い切る自信もないので、反応をきいてみたく書いてみました。

050922

タイトル変えてみた。だ、だれか、、。

はてなユーザーのみコメントできます。はてなへログインもしくは新規登録をおこなってください。

トラックバック - http://d.hatena.ne.jp/kokepi/20050921/1127303066