HTML5 hiba a vezető böngészőkben: junk adat tárolása

Egy biztonsági kutató kiderült egy kiskaput arról, hogyan valósul meg a HTML5 webtárhely-szabvány a Google Chrome, Az Internet Explorer és az Apple Safari böngészők, amelyek lehetővé tehetik a rosszindulatú webhelyek számára, hogy a látogatók merevlemez-meghajtókkal töltsék be a nagy mennyiségű adatkészletet.

A HTML5 webtárhely API-t (alkalmazásprogramozási felületet) határoz meg, amely lehetővé teszi a webhelyek számára, hogy több adatot tároljanak a böngészőkön belül mint a korábban lehetséges volt, olyan cookie-kat használva, amelyek maximum 4 KB nagyságúak.

A Web Storage API helyi statisztikája lehetővé teszi a webhelyek 2,5 és 10 millió közötti tárolását B az eredet-tartománynév alapján - az alkalmazott böngészőtől függően. A Google Chrome korlátozza a 2. MB-t, a Mozilla Firefox 5 MB-os korlátot és az Internet Explorer 10 MB-os korlátot.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

figyelmeztet arra, hogy egyes webhelyek megpróbálhatják megkerülni a tárolási korlátot azáltal, hogy adatokat tárolnak az aldomainektől. "A felhasználói ügynököknek védeniük kell az olyan webhelyeket, amelyek adatokat tárolnak más kapcsolódó webhelyek származásai között, pl. Az a1.example.com, a2.example.com, a3.example.com stb. Korlátig történő tárolása, a fő example.com tárhely megkerülésével

"A Chrome, a Safari és az IE jelenleg nem hajt végre semmilyen ilyen" kapcsolt hely "tárolási korlátot." - mondta Feross Aboukhadijeh a webfejlesztő és biztonsági kutató. legújabb blogbejegyzés. Mivel a webhelytulajdonosok tetszőleges aldomaineket generálhatnak, kihasználhatják ezt a kiskaput, hogy korlátlan tárhelyet tudjanak elérni a látogatók számítógépein. "

Aboukhadijeh létrehozott egy koncepció-alapú weboldalt, amely ezt a trükköt felhasználva tölti be a látogatók merevlemezét meghajtókat junk adatokkal. A webhelyet a Chrome 25, a Safari 6, az Opera 12 és az IE 10 segítségével tesztelték, és 16 másodpercenként 1 GB-os adatot írtak egy Macbook Pro-on, amely a Solid State Drive (SSD) technológiával volt felszerelve. "32 bites böngészőkhöz hasonlóan, mint a Chrome, a teljes böngésző összeomolhat, mielőtt a lemezt kitölti" - mondta Aboukhadijeh. A támadás nem működik a Firefoxban, mert "a Firefox helyi megvalósításának megvalósítása intelligensebb", mondta.

A Chrome fejlesztői elismerték a hibát a Chrome hibakeresővel kapcsolatos bejegyzésben, de a javítás nem könnyű. Egyes beszélgetésben résztvevők szerint az aldomainekhez tartozó localStorage hely korlátozása az adott tartományok határértékeivel kapcsolatban problémákat okozhat olyan oldalakon, mint a Github Pages vagy Appspot, amelyek saját aldomaineket biztosítanak a felhasználók számára projektek létrehozásához.