Škodlivá aplikace HTML5 dokáže zaplnit disk klienta

Škodlivé aplikace mohou do uživatelských zařízení dostat gigabajty nevyžádaných dat. Na vině je chyba v technologii Web Storage, která je součástí protokolu HTML5 a která umožňuje ukládat data na straně klienta.

Škodlivá aplikace HTML5 dokáže zaplnit disk klienta


filldisk.comMezera je součástí jedné z funkcí jazyka HTML5, která definuje možné chování webových stránek. Jako první na ni upozornil vývojář Feross Aboukhadijeh, jenž pro potřeby názorné demonstrace vytvořil speciální stránku filldisk.com. Po jejím otevření se spustí stahování velkého množství obrázků znázorňujících kreslenou kočku. Samotnému Aboukhadijehovi se takto podařilo během pouhých 16 sekund stáhnout až 1 GB dat.

Vůči chybě je zranitelná většina nejpoužívanějších prohlížečů – Chrome, Internet Explorer, Opera a Safari. Jediným odolným prohlížečem je Firefox, který umožňuje aplikacím HMTL5 uložit maximálně 5 MB dat.

Přesto však mezera v kódu zatím nepředstavuje významnější problém. Drtivá většina webových stránek totiž stále běží na čtvrté verzi jazyka HTML. Přechod na novější verzi probíhá jen velmi pozvolna.

Jazyk HTML5 je v mnoha ohledech revoluční. Jednou z velkých novinek je také možnost lokálního ukládání dat do uživatelských zařízení. Objem takto ukládaných dat by měl regulován právě webovými prohlížeči, které se v tomto ohledu liší. Každý z nich však umožňuje uložení alespoň 2,5 MB dat.

Aboukhadijeh však přišel na způsob, jak tato omezení obejít. Stačí vytvořit velké množství dočasných stránek propojených právě s tou, kterou uživatel skutečně navštíví. Každé takto vytvořené stránce je totiž přidělen vlastní datový limit, s čímž HTML5 vůbec nepočítá. Nekonečným vytvářením webových stránek se tak na uživatelská zařízení může dostat obrovské množství dat.

Úvodní foto: © adimas - Fotolia.com








Komentáře