Díra v HTML5 umožňuje zanést systém uživatele obrovským množstvím dat

Bezpečnostní analytik Feross Aboukhadijeh našel díru ve standardu HTML Web Storage, jež umožňuje podvodným webovým stránkám zaplnit pevné disky uživatele velkým množstvím dat.
reklama

HTML5 Web Storage je mimo jiné implementovaný v Google Chrome, Internet Exploreru a Apple Safari. Standard umožňuje webovým stránkám ukládat uvnitř prohlížečů více dat, než bylo dříve možné za využití cookies, kde byla maximální velikost omezena na 4KB. Prvek localStorage ve Web Storage API umožňuje webovým stránkám ukládat v závislosti na používaném prohlížeči 2,5MB až 10MB dat z jedné domény. Google Chrome má limit 2,5MB, Mozilla Firefox 5MB a Internet Explorer 10MB. Samotní tvůrci Web Storage však varují, že se webové stránky mohou pokusit ukládat ze svých subdomén do systému uživatele velké množství zbytečných dat - a zmíněné webové prohlížeče zatím tento problém nijak neřeší. 

Jelikož vlastníci webových stránek mohou generovat nespočet subdomén, lze jednoduše zahltit počítač uživatele. Aboukhadijeh vytvořil testovací webovou stránku, se kterou byl schopen u prohlížečů Chrome 25, Safari 6, Opera 12 a IE 10 na disk uživatele zapsat z MacBooku Pro každých 16 sekund 1GB dat. U Firefoxu se to nepovedlo, neboť dle Aboukhadijeha je "implementace localStorage v tomto prohlížeči chytřejší." Podle tvůrců Chrome však není zmíněný problém vůbec jednoduché vyřešit, neboť omezení velikosti dat by u některých webových stránek mohlo vyvolat velké problémy.

Zdroj: PCW

Autor článku: Jiří Beran

Bývalý redaktor Maxiorla. Pokrýval novinky z oblasti IT a napsal také řadu návodů. Momentálně se věnuje jiné činnosti.

reklama

Komentáře k článku

Přidat komentář

Filtered HTML

  • Povolené HTML značky: <a href hreflang> <em> <strong> <cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <p> <br>
  • Řádky a odstavce se zalomí automaticky.
  • Web page addresses and email addresses turn into links automatically.

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
reklama
reklama
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

Knihy o Drupalu

Kniha Drupal 8 Kniha Drupal 7 333 tipů a triků pro Drupal
Více na KnihyPolzer.cz

@maxiorel na Twitteru

Maxiorel na Twitteru