Car-tech

خطأ في HTML5 في المتصفحات الرائدة يدعو إلى تخزين البيانات غير المرغوب فيه

JavaScript for Web Apps, by Tomas Reimers and Mike Rizzo

JavaScript for Web Apps, by Tomas Reimers and Mike Rizzo
Anonim

لقد وجد الباحث الأمني ​​ثغرة في كيفية تنفيذ معيار HTML5 Web Storage في Google Chrome و Internet Explorer و Apple Safari المتصفحات التي قد تسمح لمواقع الويب الخبيثة بتعبئة محركات الأقراص الثابتة للزائرين بكميات كبيرة من البيانات غير المرغوب فيها.

HTML5 Web Storage يحدد واجهة برمجة التطبيقات (واجهة برمجة التطبيقات) التي تسمح لمواقع الويب بتخزين المزيد من البيانات داخل المتصفحات أكثر مما كان ممكنًا من قبل باستخدام ملفات تعريف الارتباط ، والتي تقتصر على حجم أقصى يبلغ 4 كيلوبايت.

تسمح السمة localStorage الخاصة بـ Web Storage API لمواقع الويب بتخزين ما بين 2.5 ميغابايت و 10 ملايين ب من البيانات لكل اسم المجال المنشأ ، اعتمادا على المتصفح المستخدم. يفرض Google Chrome حدًا قدره 2. ميغابايت ، وموزيلا فايرفوكس بحد أقصى 5 ميغابايت ، ويبلغ حد أقصى لـ 10 ميغابايت من Internet Explorer.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

ومع ذلك ، فإن معيار الويب التخزين يحذر من أن بعض مواقع الويب قد تحاول التحايل على حد التخزين عن طريق تخزين البيانات من نطاقاتها الفرعية. "يجب على وكلاء المستخدمين حماية المواقع التي تقوم بتخزين البيانات ضمن المواقع الأصلية التابعة الأخرى ، على سبيل المثال ، تخزين ما يصل إلى الحد في a1.example.com ، a2.example.com ، a3.example.com ، وما إلى ذلك ، التحايل على تخزين example.com الرئيسي الحد ، "وفقا للمعايير ، التي نشرتها رابطة شبكة الإنترنت العالمية.

" كروم ، سفاري ، و IE حاليا لا تنفذ أي حد تخزين "الموقع التابع" مثل "فيروس أبوخديجة" آخر بلوق وظيفة. وبما أنه يمكن لمالكي مواقع الويب إنشاء نطاقات فرعية حسب الرغبة ، يمكنهم استغلال هذه الثغرة للحصول على مساحة تخزين غير محدودة على أجهزة الكمبيوتر الخاصة بالزوار.

ابتكر أبوخديجة موقعًا إلكترونيًا يعتمد على المفهوم يستخدم هذه الحيلة لملء القرص الصلب للزائرين. محركات الأقراص مع البيانات غير المرغوب فيه. تم اختبار الموقع باستخدام Chrome 25 و Safari 6 و Opera 12 و IE 10 ، وكان قادرًا على كتابة 1 غيغابايت من البيانات كل 16 ثانية على جهاز Macbook Pro مزود بمحرك أقراص صلب (SSD) ، حسبما قال الباحث. وقال أبوخديجة "بالنسبة للمتصفحات ذات 32 بت ، مثل كروم ، قد يتعطل المتصفح بأكمله قبل ملء القرص". لا يعمل الهجوم في فايرفوكس لأن تطبيق فايرفوكس للتخزين المحلي هو أكثر ذكاءً.

اعترف مطورو Chrome بالمشكلة في إدخال على متتبع أخطاء Chrome ، لكن العثور على حل قد لا يكون سهلاً. وفقًا لبعض الأشخاص المشاركين في المناقشة ، قد يؤدي تحديد مساحة التخزين المحلي للنطاقات الفرعية بالنسبة إلى الحد الأقصى للنطاقات الخاصة بهم إلى حدوث مشكلات على مواقع مثل صفحات Github أو Appspot التي توفر للمستخدمين نطاقات فرعية خاصة بهم لإنشاء مشاريع.