Browser web e HTML 5: una falla e l'hard disk si riempie
Una falla, se opportunamente sfruttata, permette di riempire l'hard disk dell'utente scaricando gigabyte di dati spazzatura semplicemente visitando un sito web
di Andrea Bai pubblicata il 05 Marzo 2013, alle 08:11 nel canale SicurezzaGigabyte
Una falla di sicurezza recentemente individuata nel linguaggio HTML 5 potrebbe consentire ad un sito web opportunamente costruito di riempire l'hard disk dell'utente con gigabyte di dati-spazzatura. E' uno sviluppatore, Feross Aboukhadijeh, ad aver scoperto il problema che interessa quasi tutti i principali browser diffusi sul mercato.
Il problema è legato al modo in cui HTML5 gestisce lo storage locale. La maggior parte dei browser fissa un limite sullo spazio che può essere messo a disposizione per un sito. Google Chrome, ad esempio, stabilisce 2,5MB, Firefox pone il limite a 5MB, Internet Explorer a 10MB e via discorrendo. Gli standard HTML5, inoltre, determinano che una singola allocazione debba essere applicata a tutti i siti affiliati: il sito w1.esempio.it dovrebbe quindi condividere lo spazio con w2.esempio.it.
Ciò, tuttavia, non accade in tutti i browser, come scoperto da Aboukhadijeh. Tra i browser, solamente FireFox pare essere esente dal problema. In Chrome, Safari ed Internet Explorer tutti i siti o sottodomini legati ad un sito hanno la loro propria allocazione di storage: un sito web opportunamente realizzato per sfruttare la falla potrebbe, ad esempio, generare una moltitudine di siti web collegati portando a scaricare un enorme quantitativo di dati sul PC dell'utente.
Nel testare la falla lo sviluppatore è stato capace di scaricare 1GB di dati ogni 16 secondi sul suo sistema. Aboukhadijeh ha rilasciato il codice per sfruttare il bug e ha creato un sito web che mostra il problema in azione, scaricando un grosso quantitativo di immagini sul sistema dell'utente. La falla, che ancora non è stata riscontrata, come si suol dire, "in the wild" è già stata segnalata ai principali sviluppatori di browser.
La Formula E può correre su un tracciato vero? Reportage da Misano con Jaguar TCS Racing
Lenovo LEGION e LOQ: due notebook diversi, stessa anima gaming_L.jpg)
Nothing Ear e Ear (a): gli auricolari per tutti i gusti! La ''doppia'' recensione
Larian al lavoro su due nuovi giochi, creati con la stessa 'passione' di Baldur's Gate 3
Microsoft Office LTSC 2024 disponibile in anteprima pubblica su Windows e Mac
Fallout 4 è il gioco più venduto in Europa! Le vendite schizzano del 7500% grazie alla serie TV
Razer Kishi Ultra: ecco il controller per ogni tipo di smartphone (o iPad mini)
Il Dimensity 6300 di MediaTek porta il 5G mainstream e tanto altro nella fascia media
Google combina i team Android, Chrome e hardware: focus sull'IA
Axiante vuole indagare come le imprese italiane affrontano la pianificazione aziendale
Italia quinto mercato europeo per i videogiochi: aumenta la spesa, ma diminuisce il tempo di gioco
Apple celebra la Giornata della Terra con sfide, innovazioni e impegno per l'ambiente 
La funzionalità 'AI Explorer' di Windows 11 sarà inizialmente esclusiva dei PC con CPU ARM?
ASUS ROG Ally: la versione più potente con Z1 Extreme ora a poco più di 600€
Il patrimonio di Musk è crollato di 170 miliardi per colpa di Tesla. Oggi è il 4° uomo più ricco del mondo 
Windows 10, in arrivo messaggi per passare all'account Microsoft da quello locale
Le foto vincitrici del World Press Photo 2024: al primo posto lo scatto che incarna il dolore umano
_XXL.jpg)
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoE` fin da IE4 che i browser riempono i dischi di spazzatura cooky, tracker, virus (e li auto eseguono pure!), script javascript malevoli (posto che esistano javascript "benevoli"
Avete mai guardato nella vostra temp di windows? Almeno 1 GB è occupato da bratta e molta è pure "locked" e non puoi toglierla
E` fin da IE4 che i browser riempono i dischi di spazzatura cooky, tracker, virus (e li auto eseguono pure!), script javascript malevoli (posto che esistano javascript "benevoli"
Avete mai guardato nella vostra temp di windows? Almeno 1 GB è occupato da bratta e molta è pure "locked" e non puoi toglierla
Se togli i javascript togli la funzionalità del 99,99% dei siti internet.
Direi inoltre che è molto improbabile arrivare ad occupare tanto spazio solo per le cose che hai citato, devi avere la cache settata quasi all'infinito.
Questo è un bug bello e buono, ma sicuramente lo risolveranno prima che l'html5 diventi standard (cioè quasi mai)
Se ho capito bene quindi FF si candida per non essere utilizzato in azienda (una intranet è facile che scarichi diversi MB dato che la connessione lo permette), dato che limita la cache a 2,5 MB soltanto... secondo me non è un bug...
Firefox è molto malleabile, se la tua azienda avesse esigenze particolari, basterebbe che i client avessero un profilo appositamente creato per quello.
Comunque non credo si a un problema per le intranet, la limitazione è studiata per impedire un abuso dei domini di primo livello nei siti internet.
Sinceramente e' davvero pazzesco leggere queste badilate di idioziie.
Queste cose si possono fare anche con i cookies e 1 javascript non serve necessariamente poter accedere al local-storage del browser...
Eppoi sono cose che si fanno con le nuove specifiche js e troppo spesso si parla HTML5 in contesto errato. HTML e' un "MARKUP LANGUAGE" NON E' UN LINGUAGGIO DI PROGRAMMAZIONE. Le nuove specifiche consentono di accedere a nuove cose certo ma si fa tutto con Javascript POI !!
voglio vedere un CSS o un tag html che ti impiantano il browser per "download" di questo genere ... davvero. Sono sicuro che avete completamente cannato la traduzione, download non e' necessariamente scaricare da internet puo' anche identificare procedure che "riversano" nel disco dati. Ad esempio il vecchio comando "yes 'ciccio panzo suka' > suka.txt" ... e chi ne sa qualcosa sa quanti danni ha fatto sta cosa
INOLTRE scrivete :
EDIT: Inoltre scommetto che chi ha scoperto sta cosa ha sbagliato 1 loop js su una procedura di data storing in local storage e si e' accorto che tale loop andava a scrivere senza controllo nel disco ..... e' un problema che a volte succede quando programmi e per sbaglio ti parte uno script o stai testando ....
MA VI RENDETE CONTO DELLA BANDA CHE SERVE PER FARE QUESTI DOWNLOAND ??? NON VI DOMANDATE CHE MAGARI STATE SCRIVENDO UNA BOIATA????
1GB = 1024 * 1024 MB = 1024 * 1024 *1024 K => 67108864 k /sec !!!!!!!!!!!
Ma nemmeno un router quantistico con ping 0 e 32 qbit gestisce queste quantità di dati !!!!!!!
1- IL DISCO era un SSD sicuramente non credo un normale disco magnetico.
2- Tali velocità si ottengono solo da codice ::
- avvia ciclo indefinito
-- scrivi nuova entry con labels random in local storage fino a massimo spazio disponibile
COSI' E SOLO COSI' oggiogiorno posso riepire un disco... e questo lo posso fare anche con i cookies solamente la procedura e' piu' lenta perche' i cookies tengono meno!.
Insomma ora non e' per dire ma almeno se date le notizie assicuratevi che chi le riporta abbia almeno un minina competenza!!!!!!
Cara redazione : state veramente andando affondo con la qualità ....
Infatti. Noi siamo tranquilli
Sinceramente e' davvero pazzesco leggere queste badilate di idioziie.
Queste cose si possono fare anche con i cookies e 1 javascript non serve necessariamente poter accedere al local-storage del browser...
Eppoi sono cose che si fanno con le nuove specifiche js e troppo spesso si parla HTML5 in contesto errato. HTML e' un "MARKUP LANGUAGE" NON E' UN LINGUAGGIO DI PROGRAMMAZIONE. Le nuove specifiche consentono di accedere a nuove cose certo ma si fa tutto con Javascript POI !!
voglio vedere un CSS o un tag html che ti impiantano il browser per "download" di questo genere ... davvero. Sono sicuro che avete completamente cannato la traduzione, download non e' necessariamente scaricare da internet puo' anche identificare procedure che "riversano" nel disco dati. Ad esempio il vecchio comando "yes 'ciccio panzo suka' > suka.txt" ... e chi ne sa qualcosa sa quanti danni ha fatto sta cosa
INOLTRE scrivete :
EDIT: Inoltre scommetto che chi ha scoperto sta cosa ha sbagliato 1 loop js su una procedura di data storing in local storage e si e' accorto che tale loop andava a scrivere senza controllo nel disco ..... e' un problema che a volte succede quando programmi e per sbaglio ti parte uno script o stai testando ....
MA VI RENDETE CONTO DELLA BANDA CHE SERVE PER FARE QUESTI DOWNLOAND ??? NON VI DOMANDATE CHE MAGARI STATE SCRIVENDO UNA BOIATA????
1GB = 1024 * 1024 MB = 1024 * 1024 *1024 K => 67108864 k /sec !!!!!!!!!!!
Ma nemmeno un router quantistico con ping 0 e 32 qbit gestisce queste quantità di dati !!!!!!!
1- IL DISCO era un SSD sicuramente non credo un normale disco magnetico.
2- Tali velocità si ottengono solo da codice ::
- avvia ciclo indefinito
-- scrivi nuova entry con labels random in local storage fino a massimo spazio disponibile
COSI' E SOLO COSI' oggiogiorno posso riepire un disco... e questo lo posso fare anche con i cookies solamente la procedura e' piu' lenta perche' i cookies tengono meno!.
Insomma ora non e' per dire ma almeno se date le notizie assicuratevi che chi le riporta abbia almeno un minina competenza!!!!!!
Cara redazione : state veramente andando affondo con la qualità ....
MI auto quoto perche' sono andato a vedere la pagina riportata e pensate un poco ... prima senza averla vista avevo giustamente indovinato tutto !!!!
Poi domando nuovamente alla redazione se le conoscenze dell'inglese sono adeguate, riporto quanto scritto nella pagina del developer :
Fills up the user’s hard disk on Chrome, Safari (iOS and desktop), and IE.
Fills up 1 GB every 16 seconds on my Macbook Pro Retina (with solid state drive)
Tested with Chrome 25, Safari 6, IE 10.
For 32-bit browsers, like Chrome, the entire browser may crash before the disk is filled.
Does not work on Firefox, since Firefox’s implementation of localStorage is smarter.
Includes a button to reclaim your disk space
Spiegatemi quando "FILLS" si traduce in "download" o "scaricare" .... No davvero spiegatemelo non capisco ...
Scusate ma davvero date maggior attenzione a queste cose ... qui siamo a livelli di "DISINFORMATION" ... la prossima volta linkate la pagina ebbasta ... caro "Andrea Bai" autore dell'articolo ... se non hai competenze lascia perdere piuttosto di scrivere quelle mareee di boiate evita. Metti il titolo e il link fai piu' bella figura.
non capisco tanto nervosismo
Fills up the user’s hard disk on Chrome, Safari (iOS and desktop), and IE.Fills up 1 GB every 16 seconds on my Macbook Pro Retina (with solid state drive)
Riempe l'hard disk dell'utente su Chrome,Safari e IE. Riempe 1 GB ogni 16 secondi sul mio Macbook Pro retina (con SSD).
Quindi chi ha scritto l'articolo non ha sbagliato.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".