sâmbătă, 2 martie 2013

Un exploit HTML5 permite ca orice website să-ţi umple hard disk-ul în câteva minute


Fie că intrăm pe blog-ul cuiva pus pe glume proaste sau un website controlat de persoane rău intenţionate, calculatorul de pe care navigăm poate cădea victimă unui exploit ce permite umplerea hard disk-ului cu date inutile şi chiar blocarea web browser-ului.
De vină este o scăpare strecurată în standardul Web Storage, ce face parte din setul de tehnologii HTML5 livrate cu practic orice web browser modern. Funcţia Web Storage permite oricărui website să plaseze date pe hard disk-ul utilizatorului, folosite pentru a personaliza anumite servicii şi aplicaţii. Problema este ca standardul nu defineşte o limită pentru volumul de date pe care un website îl poate depozita la un moment dat, de unde şi riscul ca cineva să transfere mai multe date decât este rezonabil, cauzând reale probleme utilizatorilor prin umplerea rapidă a hard disk-ului cu date. Din fericire, datele depozitate în acest mod sunt totuşi izolate de restul sistemului, iar atacatorul de ocazie  nu poate obţine acces asupra PC-urilor vizate .
În mod surprinzător, W3C (organizaţia responsabilă de aprobarea tehnologiilor HTML5) a anticipat posibilitatea exploatării acestei scăpări în mod rău intenţionat, recomandând dezvoltatorilor software să limiteze spaţiul pe hard disk alocat fiecărui website, sau să includă un mecanism care să avertizeze utilizatorii atunci când website-ul pe care îl vizitează încearcă să monopolizeze mai mult de 5 MB spaţiu de stocare.
Deocamdată doar Mozilla pare să fi luat în serios avertismentele primite, incluzând anumitemecanisme de protecţie care feresc utilizatorii Firefox de neplăceri.
  În schimbutilizatorii Google Chrome, Microsoft Internet Explorer, Opera şi Apple Safari sunt lăsaţi descoperiţi. Mai mult decât atât, odată cu epuizarea spaţiului disponibil pe hard disk web browser-ul Chrome se confruntă cu blocaje frecvente ce dau şi mai multe neplăceri utilizatorilor.
Cei care doresc să experimenteze pe propriul risc acest exploit pot vizita website-ul FillDisk.com. Trebuie ştiut că spaţiul de stocare ocupat în mod abuziv poate fi recuperat folosind opţiunea pentru ştergerea istoricului de navigare din browser-ul web, având bifată opţiunea fişiere temporare şi datele website-urilor.

Niciun comentariu:

Trimiteți un comentariu