Strona HTML5 może zapełnić cały dysk

4 marca 2013 0 przez Marcin Kaczmarek

Nowo odkryty błąd w HTML5 Web Storage pozwala zapisywać stronom internetowym gigabajty danych na dysku komputera. Przeglądarki mają ustalone pewne limity, ale okazuje się, że łatwo je obejść, a szybkość zapełniania dysku jest w praktyce ograniczona tylko jego wydajnością.

HTML5 Web Storage to standard, który zastąpił popularny mechanizm ciasteczek. Zamiast plików cookies o niewielkich rozmiarach do 4 KB, umożliwia zapisywanie na dysku znacznie większych ilości danych, nawet do 10 MB. Limity zależą od przeglądarki – najniższe są w Chrome (2,5 MB), średnie w Firefoksie i Operze (5 MB), najwyższe w IE (10 MB).

Limity powinny chronić przed nadużyciami, ale okazuje się, że dotyczy to pojedynczej domeny. Tworząc kolejne subdomeny, można zapisać na dysku wielokrotnie więcej danych, a nawet całkowicie zapełnić dysk, czego dowiódł programista Feross Aboukhadijeh – demonstruje to przygotowana przez niego pokazowa strona FillDisk.com. Jedynie Firefox, który ma lepiej zaimplementowaną funkcję Web Storage, nie jest podatny na takie nadużycia. W przypadku pozostałych przeglądarek, odpowiednie poprawki powinny znaleźć się w ich kolejnych wersjach.


Źródło: feross.org