Cacat HTML5 di browser terkemuka mengundang penyimpanan data sampah

Peneliti keamanan telah menemukan celah dalam cara standar Penyimpanan Web HTML5 diimplementasikan di Google Chrome, Internet Explorer, dan browser Apple Safari yang dapat memungkinkan situs web berbahaya untuk mengisi hard disk drive pengunjung dengan sejumlah besar data sampah.

HTML5 Web Storage mendefinisikan API (antarmuka pemrograman aplikasi) yang memungkinkan situs web menyimpan lebih banyak data di dalam browser daripada yang sebelumnya mungkin dengan menggunakan cookie, yang dibatasi untuk ukuran 4KB maksimum.

Atribut localStorage dari Web Storage API memungkinkan situs web menyimpan antara 2.5MB dan 10M B data per nama asal-domain-tergantung pada browser yang digunakan. Google Chrome memberlakukan batasan 2. MB, Mozilla Firefox batas 5MB, dan Internet Explorer batas 10MB.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Namun, standar Penyimpanan Web memperingatkan bahwa beberapa situs web mungkin berusaha untuk menghindari batas penyimpanan dengan menyimpan data dari subdomain mereka. "Agen pengguna harus menjaga terhadap situs yang menyimpan data di bawah asal-usul situs afiliasi lainnya, misalnya menyimpan hingga batas dalam a1.example.com, a2.example.com, a3.example.com, dll, menghindari penyimpanan example.com utama membatasi, "menurut standar, yang diterbitkan oleh World Wide Web Consortium.

" Chrome, Safari, dan IE saat ini tidak menerapkan batas penyimpanan 'situs berafiliasi' semacam itu, "Pengembang web dan peneliti keamanan Feross Aboukhadijeh mengatakan dalam posting blog terbaru. Karena pemilik situs web dapat menghasilkan subdomain semaunya, mereka dapat memanfaatkan celah ini untuk secara efektif mendapatkan ruang penyimpanan tanpa batas di komputer pengunjung, katanya.

Aboukhadijeh membuat situs web proof-of-concept yang menggunakan trik ini untuk mengisi hard disk pengunjung drive dengan data sampah. Situs ini diuji dengan Chrome 25, Safari 6, Opera 12, dan IE 10, dan mampu menulis 1GB data setiap 16 detik pada Macbook Pro yang dilengkapi dengan solid state drive (SSD), kata peneliti.

"Untuk browser 32-bit, seperti Chrome, seluruh browser mungkin macet sebelum disk diisi," kata Aboukhadijeh. Serangan itu tidak bekerja di Firefox karena "implementasi Firefox dari localStorage lebih pintar," katanya.

Pengembang Chrome mengakui masalah ini dalam entri di pelacak bug Chrome, tetapi menemukan perbaikan mungkin tidak mudah. Menurut beberapa orang yang terlibat dalam diskusi, membatasi ruang localStorage untuk subdomain sehubungan dengan batas untuk domain masing-masing dapat menciptakan masalah pada situs seperti Github Pages atau Appspot yang menyediakan pengguna dengan subdomain mereka sendiri untuk membuat proyek.