HTML5爆惊天漏洞:海量Cookie可让硬盘爆仓

安全
据国外媒体报道,HTML5是新一代的网页应用开发技术,一些人认为其将会取代iOS和安卓客户端开发技术。不过,美国一名22岁的WEB开发工程师最近发现HTML5在浏览器厂商的实施中发生一个大漏洞,大量的Cookie文件可以在很短时间里通吃掉用户的硬盘空间。

据国外媒体报道,HTML5是新一代的网页应用开发技术,一些人认为其将会取代iOS和安卓客户端开发技术。不过,美国一名22岁的WEB开发工程师最近发现HTML5在浏览器厂商的实施中发生一个大漏洞,大量的Cookie文件可以在很短时间里通吃掉用户的硬盘空间。

斯坦福大学的开发者Feross Aboukhadijeh发现了这一漏洞,据称,存在HTML5漏洞的浏览器包括谷歌Chrome、微软IE和苹果Safari。他为这一漏洞提供了概念性攻击模型,此外还提供了演示网页。

这位开发者解释说,HTML5网页技术标准中,可以允许网页在用户电脑中保存比过去多的自定义数据(方式为Cookie)。过去每一个网站可以保留4KB的数据,不过HTML5网站根据规范可以保存的数据量从5到10MB不等。因为如今的硬盘空间都很大,这点数据量不算什么。

据称,Chrome每次登录会保留2.5MB数据,火狐和Opera则保存5MB,IE则会保存10MB。根据HTML5的技术规范,网站的子域名在发生登录时,必须共享使用网站的Cookie数据保存空间(不得另开空间),然而Chrome、Safari、IE等浏览器,没有遵守这一规则。

这位开发者指出,恶意网站可以进行精心编码,侵占掉用户全部硬盘空间。在演示攻击中,他在16秒时间里,用海量Cookie占用了用户1GB的硬盘空间。显然,一部平板或智能手机,可能在几分钟时间里损失全部存储空间。

在实验中,Feross Aboukhadijeh发现,谷歌Chrome浏览器会在硬盘填充完毕之前就崩溃退出。

据称,火狐的HTML5实施并未出现这一漏洞,他们以更聪明的方式实施了HTML5的本地存储技术规范。

责任编辑:蓝雨泪 来源: 搜狐IT
相关推荐

2009-04-30 17:12:50

2015-06-12 09:56:35

Html5跑分爆表

2009-12-04 19:29:33

2013-03-04 09:39:38

HTML5漏洞HTML5漏洞

2009-02-17 13:44:57

短信漏洞N73短信门

2013-02-22 13:39:57

2013-11-26 09:45:36

2021-03-27 09:47:02

漏洞安全Cisco Jabbe

2014-04-30 15:36:05

2010-12-10 15:23:49

Linux漏洞

2010-07-13 21:23:32

软件安全安全漏洞

2013-05-24 14:02:42

2011-12-26 10:17:12

2011-07-21 09:25:41

2017-11-10 17:16:53

2011-08-30 16:11:03

2021-03-31 11:29:12

OpenSSLDoS证书验证漏洞

2014-07-17 15:47:52

2014-04-29 15:11:24

2017-12-14 15:40:46

点赞
收藏

51CTO技术栈公众号