Podjacking: Come Proteggersi Dal Podcast Hijacking
Podjack: (verbo) - Creare un feed RSS alternativo al podcast senza il permesso del proprietario del podcast.
Photo credit: Carsten Reisinger
Scrivo questo pezzo per informare i podcaster su come proteggersi dal podjacking. Il pezzo si concluderà con le istruzioni da seguire nel caso qualcuno crei un feed non autorizzato per il tuo podcast.
Sei sei un podcaster, hai bisogno di sapere che cosa sia il podjacking.
Questo articolo ti dirà che cos'è il podjacking, come non diventarne vittima, e che cosa fare nel malaugurato caso che tu lo sia.
L'alba del podcasting
Il Podcasting è esploso da quando Adam Curry ha pubblicato il primo podcast il 13 agosto 2004.
PodcastAlley.com mostra che attualmente ci sono più di 10.000 podcast differenti disponibili. 10.000 persone che hannoo qualcosa da dire e la maggior parte di queste non lo avrebbero mai fatto se non fosse nato il podcasting.
Io mi ritengo abbastanza fortunato per aver abbracciato il podcasting sin dal principio. Come publisher di Vegan.com, e autore di un paio di libri sul veganismo, ho capito che il podcasting era un modo meraviglioso per raggiungere le persone.
E' difficile per me essere alla radio, dal momento che le catene di fast food e altri grandi pubblicitari non apprezzano ospiti come me.
Il Podcasting mi ha offerto l'opportunità di andare diretto al pubblico con uno spettacolo che mostra tutte le pratiche non etiche dell'industria della carne ed insegna alle persone quanto una dieta veganica possa essere deliziosa e salutare.
Ho iniziato il mio show nell'ottobre del 2004, e con un anno di podcasting ho iniziato pian piano ad incrementare la mia audience. I miei primi show avevano circa un centinaio di ascoltatori, ora sono più o meno 1500. Non è ancora un numero enorme, ma io sono orgoglioso di questa crescita rapida che deriva da un lavoro duro e costante.
Un giorno, poche settimane fa, in una notte la mia audience -- è caduta del 75 percento. Il mio podcast aveva subito il "podjacking".
Come funziona il Podjacking
Forse saprai già qualcosa del domain hijacking. L'hijacker trova un nome di dominio desiderabile, tipo Sex.com, che già appartiene a qualcuno, ed escogita un metodo per rubarlo.
Fare questo non solo è illegale, ma anche difficile.
L'hijacker deve rubare la password di registrazione del dominio dal proprietario di sex.com, oppure entrare nel sistema di registrazione domini. L'hijacker commette una serie di crimini nel processo di furto del dominio.
Il Podjacking invece, non necessita particolari abilità di computer hacking. Per capire come funziona devi conoscere le basi del podcasting: la URL che punta al feed RSS. La URL per il mio podcast, Erik's Diner, è : http://www.vegan.com/diner/eriksdiner.rss
Come podcaster, la URL che crei per il tuo RSS feed diviene la porta d'ingresso per arrivare ad ogni singolo tuo ascoltatore ed è questa la URL che iTunes, Yahoo, Podcast Alley, e tutti gli altri motori di ricerca per podcast useranno per portare gli ascoltatori al tuo show.
Questi motori di ricerca, sia grandi che piccoli, sono la chiave per costruire la tua audience.
Quasi tutti i tuoi ascoltatori si iscriveranno al tuo show attraverso i motori di ricerca. La maggior parte dei miei ascoltatori sono interessati al veganismo e perciò andranno in uno dei motori di ricerca per podcast e scriveranno "vegan." A quel punto verranno fuori una dozzina di show che hanno come tema il veganismo, e Erik's Diner sarà uno di questi.
A quel punto l'ascoltatore di solito sentirà uno dei miei show e se gli piace si iscriverà. Il feed URL sarà quindi copiato nel podcast player dell'utente che di solito è iTunes, iPodder, o qualche sorta di software browser-based.
E' un sistema ingegnoso ed elegante. Grazie all'esistenza di un feed RSS e all'abilità di fare attachment MP3 , una semplice URL permette ad un numero illimitato di persone di iscriversi al tuo show.
Ma nonostante le bellezza, il sistema ha un buco di sicurezza.
Hai visto come la URL che punta al tuo feed RSS sia una porta di ingresso per il tuo podcast. Il problema è che non c'è modo di evitare che un'altra persona senza scrupoli crei una porta di ingresso differente senza il tuo consenso. Una volta che una seconda porta d'ingresso è stata creata, il tuo sito ha subito il podjacking e la tua vita è diventata in un momento difficile.
Congratulazioni, Sei stato Podjacked!
Nel mio caso, sono stato mesi senza sapere che il mio show era stato podjacked. Ogni cosa mi sembrava mravigliosa.
La mia audience cresceva e non vedevo iceberg all'orizzonte.
Poi un giorno due mesi fa ho scoperto che Yahoo aveva lanciato una podcast directory. Come podcaster, desideravo essere sicuro che Erik's Diner fosse nella lista. Perciò sono andato su Yahoo podcast directory, ho scritto "vegan" nel campo di ricerca, e il mio show è venuto fuori. tutto appariva in perfetto ordine. Ma quando ho cliccato su dettagli ho scoperto un grande problema. La URL listata che puntava al feed RSS del mio show, non era l'URL ufficiale di Vegan.com ma per qualche ragione era
http://cooking.podkeyword.com/
Ero scioccato. Chi cavolo era podkeyword.com, e come avevano fatto ad inserire il loro feed al posto del mio ?
Mentre al momento non potevo avere risposte, ho capito invece il pericolo.
Gli ascoltatori che si iscrivevano tramite Yahoo non entravano in Erik's Diner attraverso la porta di ingresso che avevo stabilito -- ma attraverso podkeyword. Quel dominio podkeyword attualmente puntava all'RSS feed del mio show, e perciò l'esperienza dei miei ascoltatori non sarebbe stata differente.
Il problema è che io non avevo nessun controllo sul feed RSS di podkeyword.
Il proprietario di podkeyword.com, creando questa URL alternativa su Yahoo ha stabilito se stesso come portiere della mia audience che arrivava da Yahoo. Chiunque arrivasse al mio show da Yahoo sarebbe arrivato dalla sua porta d'ingresso dando a lui un potere potenziale illimitato.
Egli poteva facilmente, per esempio, attaccare clip pubblicitarie da accompagnare al mio show -- guadagnandoci. In questa situazione, i miei ascoltatori non avrebbero saputo che queste pubblicità non erano parte legittima della mia programmazione.
In alternativa, il ragazzo di podkeyword.com poteva chiedermi ad un certo punto un pagamento per mantenere la URL che punta al mio show. In due minuti di lavoro, poteva facilmente puntare il feed sullo "Show delle Bistecche" e farmi perdere tutti i miei ascoltatori da Yahoo.
Il punto non è che il proprietario di podkeyword dovesse fare necessariamente queste cose, ma piuttosto che fosse in grado di farlo in qualsiasi momento.
Così, il mese dopo, ho mandato una serie di email a Yahoo.
Ad eterno discredito di Yahoo, non hanno mai replicato ne hanno fatto alcuna azione per correggere il feed. Nel frattempo i miei ascoltatori da Yahoo aumentavano e tutti ascoltavano il mio show attraverso il feed di podkeyword.com. Fortunatamente, il motore di ricerca podcast di Yahoo è ancora in beta e non è ancora molto usato.
Yahoo non correggeva il mio RSS feed, perciò ho deciso di andare direttamente alla sorgente del problema.
Ho mandato una mail alla persona dietro podkeyword, e gli ho chiesto di eliminare i feed RSS che puntavano allo show. A suo credito lo ha fatto e ha tolto anche altri 4 feed RSS che puntavano a Erik's Diner di cui non ero a conoscenza. Ho saputo che la rimozione dei suoi feed RSS mi ha fatto perdere gli ascoltatori di Yahoo, ma fortunatamente ne avevo solo 17.
Ma immediatamente dopo aver postato il mio podcast successivo, ho realizzato che qualcosa di terribile era accaduto.
Non solo avevo perso gli iscritti di Yahoo, ma addirittura tutti quelli di iTunes.
Ma che cosa era successo ?
In pratica iTunes non usava i miei feed regolari e una volta che podkeyword.com ha cancellato i suoi RSS feed per il mio show, la maggior parte dell'audience è scomparsa.
Questo è stato devastante per me. Avevo tracorso circa il 20% delle mie ore lavorative per fare Erik's Diner, e tutto ad un tratto la maggior parte della mia audience era scomparsa. E allora che fare?
Secondo il mio webmaster, al podjacker sarebbero voluti non più di 5 minuti per restaurare i feed ed una volta che Apple avesse aggiustato il mio elenco con iTunes, avrei potuto chiedere al podjacker di cancellare permanentemente i feed. Nel frattempo avrei potuto mantenere i miei iscritti attivi e dir loro di iscriversi al mio show attraverso Vegan.com.
Perciò ho inviato un'altra mail a podkeyword.com per restaurare temporaneamente il mio feed. Il podjacker mi ha risposto che avrebbe riattivato i miei feed solo se avessi accettato i suoi termini e avessi pagato qualche tipo di licenza. Scelsi di non rispondere.
Con riluttanza decisi di prendere un avvocato, Colette Vogele, specializzata in proprietà intellettuale su Internet.
Photo credit: L'avvocato Colette Vogele
Inoltre ho inviato una mail a Adam Curry, uno degli inventori del podcasting che ha anche uno degli spettacoli migliori, The Daily Source Code. Adam è stato molto felice di commentare l'accaduto che io ho registrato per il suo show (show numero 289.)
Subito dopo i miei commenti apparsi nello show di Adam, sono stato contattato da Apple. Un impiegato aveva cancellato la precedente lista di feed ed aveva inserito finalmente la nuova lista corretta. Era la cosa migliore che Apple potesse fare perchè su iTunes non c'era apparentemente niente da fare per modificare il feed RSS dello show. Purtroppo per avere i miei feed regolari ho dovuto pagare il prezzo di perdere i miei iscritti orginali su iTunes.
Nel momento in cui avevo contattato Adam Curry e Colette Vogele come mio avvocato, non avevo idea di come podkeyword avesse potuto fare tutto questo. Venne fuori che più di un anno fa avevo risposto ad una mail che mi era stato mandata riguardo a podkeyword.com, avevo visitato il sito ed inserito il mio podcast in una lista. Quando avevo lanciato il mio show nell'ottobre del 2004 ero andato ovunque potessi per sottomettere la mia URL e avevo dimenticato velocemente i cinque minuti in cui avevo visitato podkeyword.
Alcuni blogger si sono soffermati su questo punto ed hanno affermato che io ero in torto per quello che era successo. Uno scrive:
"Sembra che Erik Marcus abbia chiesto questo servizio, all'inizio. Se non lo avesse chiesto, sarebbe nato il problema"
La realtà, è che è irrilevante il modo in cui podkeyword.com abbia ottenuto la mia URL . Sono andato nel loro sito perchè è una delle centinaia di directory di podcast. Se podkeyword.com accresceva il mio traffico, fantastico, se invece no non avrei perso niente. Ma questo è il punto importante:
"Podkeyword non fornisce nessuna notizia nè nella sua home, nè nelle pagine dove sottomettere le URL, riguardo la sua intenzione di ripubblicare i feed RSS in feed controllati da podkeyword. Ricorda, il feed RSS è la porta di ingresso del tuo show. Io penso che ci sia bisogno almeno del rispetto di chiedere il permesso per ripubblicare un feed RSS esistente. Ma non solo podkeyword.com non aveva chiesto il permesso, ma addirittura aveva creato feed alternativi senza neanche dirmelo !"
E c'è di peggio.
In aggiunta alla ripubblicazione dei feed, la persona a podkeyword.com li aveva sottomessi alla sua directory OPML "che viene controllata periodicamente da altri servizi."
Pochi podcaster, incluso io stesso erano consapevoli delle directory OPML o di come usarle.
Ma iTunes, Yahoo, e altri motori di ricerca per podcast dipendono tutti da queste directory. Postando un feed RSS non autorizzato in questa directory, podkeyword.com è stato in grado di avere il proprio feed RSS piuttosto che i feed ufficiali.
E' troppo tardi per me per cancellare il danno che questo podjacking mi ha causato. Io credo che molti di coloro che si sono iscritti da iTunes non faranno mai ritorno.
Perciò sto scrivendo questo pezzo per informare i podcaster su come proteggersi e su cosa fare se qualcuni crea un feed non autorizzato per il tuo podcast.
Mantenere lontani i Podjacker
Per il momento, ci sono pochi efficaci approcci tecnici per scoraggiare un podjacker,ma sia Apple che Yahoo sono consapevoli del problema. Senza dubbio investiranno risorse per rendere le loro directory partecipi dei feed ufficiali dei podcaster.
Nel frattempo, il miglior modo per proteggere te stesso dal podjacking è erigere poche semplici barriere come raccomandato da Colette Vogele.
Primo, essere sicuro di inserire il tag Copyright nel tuo feed. Ora ho un tag nel mio feed RSS che dice: "
In aggiunta, non è una cattiva idea quella di concludere il tuo show dando la data del copyright e fornendo il tuo nome. Se hai fatto questi semplici passi, ti sarà facile poi intentare una causa contro il podjacker che ha ripubblicato il tuo feed in maniera non autorizzata.
Una delle cose poi che farò sarà acquisire le Creative Commons license. Questo mi permetterà di allontanare i podjacker ma non le persone che desiderano usare il mio show in una maniera legittima. Per imparare di più da questo tipo di licenza visita: http://creativecommons.org/.
Ed infine, tu dovresti controllare regolarmente tutte le maggiori directory per podcast ed i motori di ricerca per essere sicuro che la loro lista punti al tuo RSS feed/URL originale. La maggior parte dei podcast, ad eccezione di iTunes, mostra la URL di riferimento nel loro show. Per trovarlo su iTunes, basta iscriversi allo show, poi andare nella pagina di iTunes che lista tutti i podcast, fare click con il tasto destro sullo show e scegliere l'opzione "Show Description".
Cosa fare con un Podjack
Se il tuo show ha subito il podjacking, ci sono un numero di cose che puoi fare per risolvere la situazione e mantenere la tua audience.
Prima di tutto, non contattare il podjacker. C'è la possibilità che il tuo show stia raggiungendo molti degli ascoltatori attraverso il suo feed non autorizzato e tu hai bisogno di capitalizzarli.
Nel tuo show, devi dire alla tua audience che il tuo feed è stato podjacked, e chiedere di verificare se sono iscritti attraverso il tuo feed ufficiale.
Leggi la URL ufficiale del tuo show, e
e avvisa i tuoi ascoltatori di visitare il tuo sito principale per risolvere la situazione.
e non dimenticare di enfatizzare la data del copyright.
In seguito, contatta i motore di ricerca per podcast che hanno accettato il feed non autorizzato e chiedi loro di fare una correzione.
Sei un feed non autorizzato è stato fatto nella tua entry dello show iTunes, quello che hai bisogno di fare è selezionare il tuo show su iTunes e poi cliccare il bottone "Report a Concern". Poi scegliere "This podcast is mine and I want it removed from the music store." Poi riempire il campo e dire ad Apple che il tuo podcast ha subito un podjaking e che la lista dovrebbe puntare al feed ufficiale. Devi essere sicuro di fornire la tua URL di riferimento ufficiale e il tuo indirizzo email.
E' meglio non contattare il podjacker fino a che non hai aggiustato il tuo feed sui maggiori motori di ricerca.
Quando contatti il podjacker, devi inviargli la tua URL ufficiale e chiedergli se setta il suo server per mandare un http response of 301, insieme alla URL ufficiale, per tutte le richieste che arrivano per il suo show. Per un'amministratore del server che sa quello che fa, configurare il tutto è una questione di due minuti. Quello che questo codice 301 farà è dire ai motori di ricerca per podcast ben progettati ed ai client come iTunes di aggiornare il tuo feed RSS che lista alla tua URL ufficiale.
Ogni nuova ed interessante tecnologia ha i propri abusi, perciò non sorprende che una tecnologia come il podcasting abbia attualmente problemi di sicurezza.
Non ho alcun dubbio che al più presto saranno introdotti elementi tecnici in grado di frenare il podjacking.
Per ora rimane un problema su cui porre attenzione.
Articolo originale:
Preventing and Surviving a Podjacking
Pubblicato da Erik Marcus l'8 dicembre 2005
Erik Marcus è il publisher di Vegan.com e autore del podcast Erik's Diner
8 dicembre 2005
Guarda inoltre: il post di Colette Vogele a riguardo.
blog comments powered by Disqus