admin 管理员组

文章数量: 887006

HTML5新漏洞被发现:垃圾数据可将用户硬盘塞满

  3月4日消息,据国外媒体报道,HTML5是新一代的网页应用开发技术,一些人认为其将会取代iOS和安卓客户端开发技术。不过,美国一名22岁的WEB开发工程师最近发现HTML5在浏览器厂商的实施中发生一个大漏洞,大量的Cookie文件可以在很短时间里通吃掉用户的硬盘空间。

斯坦福大学的开发者Feross Aboukhadijeh发现了这一漏洞,据称,存在HTML5漏洞的浏览器包括谷歌Chrome、微软IE和苹果Safari.他为这一漏洞提供了概念性攻击模型,此外还提供了演示网页。

这位开发者解释说,HTML5网页技术标准中,可以允许网页在用户电脑中保存比过去多的自定义数据(方式为Cookie)。过去每一个网站可以保留4KB的数据,不过HTML5网站根据规范可以保存的数据量从5到10MB不等。因为如今的硬盘空间都很大,这点数据量不算什么。

据称,Chrome每次登录会保留2.5MB数据,火狐和Opera则保存5MB,IE则会保存10MB.根据HTML5的技术规范,网站的子域名在发生登录时,必须共享使用网站的Cookie数据保存空间(不得另开空间),然而Chrome、Safari、IE等浏览器,没有遵守这一规则。

这位开发者指出,恶意网站可以进行精心编码,侵占掉用户全部硬盘空间。在演示攻击中,他在16秒时间里,用海量Cookie占用了用户1GB的硬盘空间。显然,一部平板或智能手机,可能在几分钟时间里损失全部存储空间。

在实验中,Feross Aboukhadijeh发现,谷歌Chrome浏览器会在硬盘填充完毕之前就崩溃退出。

据称,火狐的HTML5实施并未出现这一漏洞,他们以更聪明的方式实施了HTML5的本地存储技术规范。(

本文标签: HTML5新漏洞被发现垃圾数据可将用户硬盘塞满