JavaScript for Web Apps, by Tomas Reimers and Mike Rizzo
Ein Sicherheitsforscher hat eine Lücke in der Implementierung des HTML5-Webspeicher-Standards in Google Chrome gefunden, Internet Explorer und Apple Safari Browser, die es bösartigen Websites ermöglichen könnten, die Festplatten von Besuchern mit großen Mengen an Junk-Daten zu füllen.
HTML5 Web Storage definiert eine API (Anwendungsprogrammierschnittstelle), die es Websites ermöglicht, mehr Daten in Browsern zu speichern als das zuvor mit der Verwendung von Cookies möglich war, die auf eine Größe von maximal 4 KB begrenzt sind.
Das localStorage-Attribut der Web Storage-API ermöglicht es Websites, zwischen 2,5 MB und 10 Mio. zu speichern B der Daten pro Herkunftsdomänenname - abhängig vom verwendeten Browser. Google Chrome erzwingt ein Limit von 2 MB, Mozilla Firefox ein Limit von 5 MB und Internet Explorer ein Limit von 10 MB.
[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]Der Web Storage-Standard warnt, dass einige Websites versuchen könnten, das Speicherlimit zu umgehen, indem sie Daten aus ihren Subdomains speichern. "Benutzeragenten sollten sich vor Sites schützen, die Daten unter den Ursprüngen anderer verbundener Sites speichern, z. B. Speichern bis zum Limit in a1.example.com, a2.example.com, a3.example.com usw. unter Umgehung des Hauptspeichers von example.com "Limit", so der Standard, der vom World Wide Web Consortium veröffentlicht wurde.
"Chrome, Safari und IE implementieren derzeit kein solches Speicherlimit für verbundene Sites", sagte der Webentwickler und Sicherheitsforscher Feross Aboukhadijeh in einem Interview letzter Blogeintrag Da Websiteinhaber Subdomänen nach Belieben erzeugen können, können sie diese Lücke ausnutzen, um unbegrenzt Speicherplatz auf den Computern der Besucher zu erhalten.
Aboukhadijeh erstellte eine Proof-of-Concept-Website, die diesen Trick nutzt, um die Festplatte der Besucher zu füllen fährt mit Junk-Daten. Die Seite wurde mit Chrome 25, Safari 6, Opera 12 und IE 10 getestet und konnte alle 16 Sekunden 1 GB Daten auf einem Macbook Pro schreiben, der mit einem Solid-State-Laufwerk (SSD) ausgestattet war, sagte der Forscher.
"Bei 32-Bit-Browsern wie Chrome stürzt der gesamte Browser möglicherweise ab, bevor die Festplatte voll ist", erklärt Aboukhadijeh. Der Angriff funktioniert nicht in Firefox, weil "Firefox die Implementierung von localStorage schlauer macht", sagte er.
Die Chrome-Entwickler haben das Problem in einem Eintrag im Chrome-Bug-Tracker erkannt, aber eine Fehlerbehebung ist nicht einfach. Nach Ansicht einiger an der Diskussion Beteiligter kann die Begrenzung des LocalStorage-Speicherplatzes für Subdomains in Relation zum Limit ihrer jeweiligen Domains Probleme auf Seiten wie Github Pages oder Appspot verursachen, die Benutzern ihre eigenen Subdomains zum Erstellen von Projekten zur Verfügung stellen.
Mozilla lädt Menschen ein, die Zukunft des Internets zu gestalten
Mozilla lädt Menschen ein, an einer neuen konzeptionellen Serie teilzunehmen, die das zukünftige Design von Web ... ins Visier nehmen soll
Junk-E-Mail-Berichterstellungstool: Junk-E-Mail an Microsoft melden
Die Junk-E-Mail-Berichterstellung -in für Outlook können Sie Junk-E-Mails direkt an Microsoft und seine Partner zur Analyse melden
So schränken Sie Websites in allen Browsern mit Fokusfilter ein
Erfahren Sie, wie Sie eine Website (oder Websites) mit FocalFilter in allen Browsern problemlos einschränken können.