205
HTML5新漏洞被發現:垃圾數據可將用戶硬盤塞滿
3月4日消息,據國外媒體報道,HTML5是新一代的網頁應用開發技術,一些人認為其將會取代iOS和安卓客戶端開發技術。不過,美國一名22歲的WEB開發工程師最近發現HTML5在瀏覽器廠商的實施中發生一個大漏洞,大量的Cookie文件可以在很短時間裏通吃掉用戶的硬盤空間。
斯坦福大學的開發者Feross Aboukhadijeh發現了這一漏洞,據稱,存在HTML5漏洞的瀏覽器包括穀歌Chrome、微軟IE和蘋果Safari.他為這一漏洞提供了概念性攻擊模型,此外還提供了演示網頁。
這位開發者解釋說,HTML5網頁技術標準中,可以允許網頁在用戶電腦中保存比過去多的自定義數據(方式為Cookie)。過去每一個網站可以保留4KB的數據,不過HTML5網站根據規範可以保存的數據量從5到10MB不等。因為如今的硬盤空間都很大,這點數據量不算什麼。
據稱,Chrome每次登錄會保留2.5MB數據,火狐和Opera則保存5MB,IE則會保存10MB.根據HTML5的技術規範,網站的子域名在發生登錄時,必須共享使用網站的Cookie數據保存空間(不得另開空間),然而Chrome、Safari、IE等瀏覽器,沒有遵守這一規則。
這位開發者指出,惡意網站可以進行精心編碼,侵占掉用戶全部硬盤空間。在演示攻擊中,他在16秒時間裏,用海量Cookie占用了用戶1GB的硬盤空間。顯然,一部平板或智能手機,可能在幾分鍾時間裏損失全部存儲空間。
在實驗中,Feross Aboukhadijeh發現,穀歌Chrome瀏覽器會在硬盤填充完畢之前就崩潰退出。
據稱,火狐的HTML5實施並未出現這一漏洞,他們以更聰明的方式實施了HTML5的本地存儲技術規範。(
最後更新:2017-04-03 22:31:04