Bug na implementação do HTML 5 pode lotar seu HD

por **Bitetti** » Sex, 1 de Março 2013, 17:23

Fonte, autor: Marcos Elias Picão

Um bug curioso na implementação do HTML 5 pode fazer com que uma página trave seu navegador e/ou acabe com o espaço em disco disponível na partição principal, onde provavelmente ficam os dados do navegador.

Basicamente os sites da web podem guardar dados no navegador para uso posterior. São dados maiores, indo bem além dos tradicionais cookies. Podem ser arquivos diversos, fotos, vídeos, dados de contatos, etc. Cada navegador normalmente oferece meios para visualizar o espaço gasto por site, permitindo limpar esse cache quando necessário. O problema não está na especificação do localStorage do HTML 5 em si, mas na forma como a maioria dos navegadores a implementa. Algum produtor de página maliciosa pode aproveitar uma brecha para entupir o HD de dados inúteis.

Atualmente o Chrome limita a 2,5 MB a "caixinha" que determinado domínio tem para guardar dados usando as funções do localStorage. O Firefox e Opera permitem 5 MB, e o IE permite generosos 10 MB.

O problema aparece em todos eles, com exceção do Firefox: um site que usa vários subdomínios pode explorar o recurso, armazenando imensas quantidades de dados no computador do visitante. Isso não deve trazer problemas de privacidade nem roubo de dados, mas pode ser uma "pegadinha" bastante indesejável. Em navegadores de 32-bit, como o Chrome, o navegador completo pode travar bem antes do disco ficar cheio.

Como prova do conceito foi criado o site http://www.filldisk.com/ (cuidado ao entrar, mas é reversível, claro).

Feross Aboukhadijeh, o cara que comentou publicamente a brecha, notificou os fabricantes dos principais navegadores. Dos maiores, o único que lida bem com o limite é o Firefox. Ele possui uma implementação mais "inteligente", que já pensa nessa possibilidade e limita o abuso no uso do espaço de armazenamento.

Confira detalhes do caso, que pode ser considerado um bug, em:

http://feross.org/fill-disk/

por **Bitetti** » Sex, 1 de Março 2013, 17:28

Oque pode "ferrar legal" com tudo é que por exemplo entrando no domínio rhcloud.com ou tumblr.com onde seu site é um sub-dominio oferecido por serviços de criação de sites gratuitos e são legítimos merecedores da storage.
Realmente quero ver oque eles vão fazer p resolver isso.

Youtube · por **Claudio Novais** » Sex, 1 de Março 2013, 17:34

Isso é uma situação complicada, mas acho que esse tipo de problema já poderia ser explorado antes. Acho eu, nunca testei. Através do Flash.

O flash até há alguns anos (agora as empresas tentam que isso não aconteça para não copiarem os conteúdos) guardava os vídeos do youtube por exemplo no disco. Bastava reproduzir vários vídeos HD em simultâneo e provavelmente veríamos a mesma situação a acontecer e de uma maneira bastante mais rápida creio eu.

Entretanto tem aqui o vídeo do sucedido:

FillDisk HTML5 exploit

por **Davysson Silva** » Dom, 3 de Março 2013, 21:58

Acredito não ser possível fazer isso em um site com muitos utilizadores, a quantidade necessária de bandwidth seria algo impensável.

Ainda não tem o Ubuntu instalado? Veja:		Dicas para melhorar o Ubuntu:
Você deve instalar o Ubuntu 12.10 ou ficar no Ubuntu 12.04? Como instalar o Ubuntu 12.04 Precise Pangolin Como instalar o Ubuntu 12.10 Quantal Quetzal e algumas recomendações!		Conjunto de dicas e programas a ter após instalar o Ubuntu O que fazer para aumentar a duração da Bateria? Série de visuais do Ubuntued Tutorial: Instalação e Configuração Inicial do XFCE

Bug na implementação do HTML 5 pode lotar seu HD

Bug na implementação do HTML 5 pode lotar seu HD

Re: Bug na implementação do HTML 5 pode lotar seu HD

Re: Bug na implementação do HTML 5 pode lotar seu HD

Re: Bug na implementação do HTML 5 pode lotar seu HD

Quem está online

Quem está online