HTML5-feil i ledende nettlesere inviterer til datalagring av søppelpost

En sikkerhetsforsker har funnet et smutthull i hvordan HTML5 Web Storage-standard er implementert i Google Chrome, Internet Explorer og Apple Safari-nettlesere som kan tillate ondsinnede nettsteder å fylle besøkende harddiskstasjoner med store mengder søppelpost.

HTML5 Web Storage definerer et API (programprogrammeringsgrensesnitt) som tillater nettsteder å lagre flere data i nettlesere enn det som tidligere var mulig ved bruk av informasjonskapsler, som er begrenset til en størrelse på maksimalt 4 KB.

Egenskapen Local Storage i Web Storage API gjør at nettsteder kan lagre mellom 2,5 MB og 10 MB B av data per opprinnelsesdomenavn - avhengig av hvilken nettleser som er brukt. Google Chrome håndhever en grense på 2 MB, Mozilla Firefox en grense på 5 MB og Internet Explorer en grense på 10 MB.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Weblagringsstandarden advarer om at enkelte nettsteder kan forsøke å kringgå lagringsgrensen ved å lagre data fra underdomene. "Brukeragenter bør våkne mot nettsteder som lagrer data under opprinnelsen til andre tilknyttede nettsteder, for eksempel lagring opp til grensen i a1.example.com, a2.example.com, a3.example.com, etc., kringgå hovedeksempel.no-lagringsplassen grense ", ifølge standarden, publisert av World Wide Web Consortium.

" Chrome, Safari og IE implementerer for øyeblikket ikke en slik grensesnitt for tilknyttet nettsted ", sa webutvikler og sikkerhetsforsker Feross Aboukhadijeh i en siste blogginnlegg. Siden nettstedseierne kan generere underdomene etter ønske, kan de utnytte dette smutthullet for effektivt å få ubegrenset lagringsplass på de besøkende datamaskiner, sa han.

Aboukhadijeh opprettet et proof of concept-nettsted som bruker dette trikset til å fylle besøkende harddisk stasjoner med søppelpost. Nettstedet ble testet med Chrome 25, Safari 6, Opera 12 og IE 10, og kunne skrive 1 GB data hvert 16. sekund på en Macbook Pro utstyrt med SSD-stasjon (SSD). "For 32-bits nettlesere, som Chrome, kan hele nettleseren krasje før disken er fylt," sa Aboukhadijeh. Angrepet virker ikke i Firefox fordi "Firefox implementering av localStorage er smartere," sa han.

Chrome-utviklerne anerkjente problemet i en oppføring på Chrome-bugs-trackeren, men det kan ikke være lett å finne en løsning. Ifølge noen personer som er involvert i diskusjonen, kan det hende at det å opprette problemer på nettsteder som Github Pages eller Appspot som gir brukerne egne underdomener for å lage prosjekter, begrenser lokalplasseringsplassen for underdomener i forhold til grensen for deres respektive domener.