E’ stata recentemente scoperta una falla di sicurezza nel linguaggio HTML 5. Questa falla potrebbe permettere ad un sito web opportunamente costruito, di riempire l’hard disk dell’utente con gigabyte di dati “spazzatura”. La scoperta è stata fatta dallo sviluppatore Feross Aboukhadijeh, ed interessa quasi tutti i principali browser diffusi sul mercato. Scopriamo i dettagli …Il problema scaturiscse dal modo in cui HTML5 gestisce lo storage a livello locale.
La maggior parte dei browser pone un limite allo spazio che il sistema mette a disposizione per un determinato sito web (2,5MB per Chrome, 5MB per Firefox, 10MB per Inernet Explorer), e gli standard HTML5 stabiliscono inoltre che i siti affiliati condividano un’unica allocazione, ad esempio il sito web1.esempio.it dovrebbe quindi condividere lo spazio con web2.esempio.it.
E’ qui che nasce il problema, non tutti i browser applicano questa limitazione. Tranne Firefox, che pare essere esente dal problema, gli altri principali browser danno un’allocazione di memoria separata a tutti i siti o sottodomini collegati. Ecco quindi che un sito web opportunamente preparato potrebbe generare collegamenti ad un gran numero di siti collegati e saturare la memoria del sistema.
Testaando la falla, lo sviluppatore è riuscito a scaricare 1GB di dati ogni 16 secondi.
Aboukhadijeh ha rilasciato il codice per sfruttare il bug e ha creato un sito web che mostra il problema in azione, scaricando un grosso quantitativo di immagini sul sistema dell’utente. La falla è già stata segnalata ai principali sviluppatori di browser, che adesso prenderanno le opportune contromisure.
