Alfonso Maruccia

HTML5, il baco che consuma l'hard disk

Uno sviluppatore identifica un problema nell'implementazione delle specifiche di HTML5 nei browser web più popolari. Il rischio, per l'utente, è la fine dello spazio di storage del disco fisso

Roma - Lo studente di informatica e sviluppatore web Feross Aboukhadijeh ha identificato un nuovo problema in HTML5, o meglio nell'implementazione delle specifiche della più recente revisione del linguaggio ipertestuale del World Wide Web nei browser più popolari. Il problema è potenzialmente pericoloso, ma non riguarda la sicurezza in senso stretto.

Lo sviluppatore ventiduenne ha messo in mostra quanto scoperto con un sito dimostrativo, www.filldisk.com/ (AVVISO: il lettore visita la pagina a suo rischio e pericolo) e il relativo codice sorgente in JavaScript: la specifica "localStorage" di HTML5 prevede l'allocazione di cookie di dimensioni molto maggiori rispetto alla norma, e tale allocazione può essere "sequestrata" con una scrittura continua di dati sul disco fisso (sia esso magnetico o a stato solido) fino al crash del browser o al riempimento di tutto lo spazio disponibile sul volume.

Ogni nome di dominio ha un limite prefissato di storage locale a propria disposizione, spiega Aboukhadijeh, ma servendosi di sottodomini e domini affiliati al dominio principale è possibile aggirare tale restrizioni. Nei test dello sviluppatore, il codice dimostrativo è in grado di riempire 16 Gigabyte ogni 16 secondi sul disco SSD di un Macbook Pro Retina.
Dei browser più popolari, solo Firefox e Opera sembrano immuni all'exploit non autorizzato dello storage di HTML5. Gli sviluppatori di Google Chrome ammettono di essere in fallo, e indicano l'implementazione localStorage di Firefox come quella più sicura contro il potenziale rischio di abuso dello spazio su disco fisso.

Alfonso Maruccia
Notizie collegate
  • AttualitàPolemiche sul DRM dentro HTMLIl W3C ha deciso di mettersi al lavoro su un sistema di restrizione alla fruizione di contenuti da implementare direttamente nelle specifiche del Web. A favore grandi nomi dell'imprenditoria online. E anche la BBC
27 Commenti alla Notizia HTML5, il baco che consuma l'hard disk
Ordina
  • Ho sempre pensato che Firefox abbia una marcia in più, magari non è visibile ai più ma è in questi frangenti che mi accorgo che i "miei" programmatori sono i migliori.
  • - Scritto da: Sandro kensan
    > Ho sempre pensato che Firefox abbia una marcia in
    > più, magari non è visibile ai più ma è in questi
    > frangenti che mi accorgo che i "miei"
    > programmatori sono i
    > migliori.

    Un bug può capitare a tutti. Ora che lo conoscono anche gli altri lo correggeranno.
    Webkit rimante il motore Javascript migliore. E penso che nel futuro sarà sempre più dominante se non addirittura l'unico.
  • - Scritto da: MacGeek

    > Un bug può capitare a tutti. Ora che lo conoscono
    > anche gli altri lo
    > correggeranno.
    > Webkit rimante il motore Javascript migliore. E
    > penso che nel futuro sarà sempre più dominante se
    > non addirittura
    > l'unico.

    non per volere fare il precisino ma non è un bug.
  • 1GB in 16 secondi. Magari potessi scaricare cosi' velocemente!
    non+autenticato
  • - Scritto da: danilo
    > 1GB in 16 secondi. Magari potessi scaricare cosi'
    > velocemente!

    Hai letto chi ha scritto l'artcolo?Arrabbiato
  • Guardate che non serve scaricare alcunche'
    Usando javascript puoi riempire il local storage di quello che vuoi, il collo di bottiglia e' l'interprete javascript o la velocita' del disco.

    Il caotico web 1,0 con una miriade di clients e protocolli comuni era piu' robusto in fondo del web 2.0 con una manciata di browsers tuttofare, che dipendono da 3 motori di rendering soli.
    non+autenticato
  • - Scritto da: vuoto
    > Guardate che non serve scaricare alcunche'
    > Usando javascript puoi riempire il local storage
    > di quello che vuoi, il collo di bottiglia e'
    > l'interprete javascript o la velocita' del
    > disco

    Esatto... mi pare ovvio che non ci sia nulla da scaricare, altrimenti 1 gb in 16 secondi hai voglia a raggiungerli.
    non+autenticato
  • Diciamo la verità... se si va a vedere il bug:

    https://code.google.com/p/chromium/issues/detail?i...

    si vede che le specifiche dicono esplicitamente che i browser devono prendere provvedimenti per evitare che i siti usino sottodomini per aggirare il limite. Insomma, nessun baco.
    Solo qualcuno (Firefox) ha fatto le cose per bene, ha letto le specifiche e ha implementato quello che veniva chiesto, qualcun altro (Chrome e gli altri) o non hanno letto bene le specifiche oppure le hanno lette, ma gli faceva fatica implementarlo. Stupisce che degli sviluppatori professionisti, di Google, Microsoft o Apple che siano, abbiano implementato le specifiche in maniera così superficiale (e lo dico da utente Chrome).
    non+autenticato
  • - Scritto da: il signor rossi
    > Solo qualcuno (Firefox)

    ...e Opera (e lo dico da utente di OperaOcchiolino )
  • - Scritto da: topolinik
    > - Scritto da: il signor rossi
    > > Solo qualcuno (Firefox)
    >
    > ...e Opera (e lo dico da utente di OperaOcchiolino )
    ;)
    non+autenticato
  • Nella sua pagina github, il tizio spiega che il suo codice js gli ha riempito in 16 secondi UN GIGA, non 16!

    https://github.com/feross/filldisk.js
    Leggasi README.md alla voce "Features".

    Comunque, notevole.
    -----------------------------------------------------------
    Modificato dall' autore il 04 marzo 2013 10.53
    -----------------------------------------------------------
  • - Scritto da: topolinik
    > Nella sua pagina github, il tizio spiega che il
    > suo codice js gli ha riempito in 16 secondi UN
    > GIGA, non
    > 16!
    >
    > https://github.com/feross/filldisk.js
    > Leggasi README.md alla voce "Features".
    >
    > Comunque, notevole.

    Sopratutto perchè su di una pagina resti sicuramente più di 16 secondi e non te ne accorgi che ti sta riempiendo il disco!
    non+autenticato
  • Senza andare nel repository, basta aprire il link riportato nell'articolo stesso per leggere:

    "Aboukhadijeh claims the proof-of-concept code will fill 1 GB every 16 seconds on a Macbook Pro Retina’s solid state drive."


    E poi il titolo è vagamente "misleading", perchè non è un bug di HTML5, è un bug di come è stata implementa la funzionalità di HTML5. Ne è la riprova che Firefox è completamente immune.


    - Scritto da: topolinik
    > Nella sua pagina github, il tizio spiega che il
    > suo codice js gli ha riempito in 16 secondi UN
    > GIGA, non
    > 16!
    >
    > https://github.com/feross/filldisk.js
    > Leggasi README.md alla voce "Features".
    >
    > Comunque, notevole.
    > --------------------------------------------------
    > Modificato dall' autore il 04 marzo 2013 10.53
    > --------------------------------------------------
  • Mi viene in mente la solita frase "costa la metà e fa le stesse cose" Rotola dal ridere
    ruppolo
    33147
  • vero vero!!!!
    non+autenticato
  • - Scritto da: ruppolo
    > Mi viene in mente la solita frase "costa la metà
    > e fa le stesse cose"
    > Rotola dal ridere
    SSD ti dice niente?
    non+autenticato
  • Oppure: costa il doppio e ha gli stessi problemi...
    non+autenticato
  • - Scritto da: ruppolo
    > Mi viene in mente la solita frase "costa la metà
    > e fa le stesse cose"
    > Rotola dal ridere

    ok hai fatto il tuoi lavoro, ora puoi riscuotere il gettone dal tuo padrone.
  • lui non riscuote, lui paga
    non+autenticato
  • Proviamo cosi'....
    Trovo che sia assolutamente patetico infilarsi in ogni buco per magnificare le doti del prodotto che si vende, sfruttando lo spazio web di una "testata giornalistica" per farsi indirettamente pubblicita' gratis.
    non+autenticato
  • peccato ottenga l'effetto opposto, cioè quello di mettersi in ridicolo costantemente davanti a quasi ogni lettore
    non+autenticato
  • - Scritto da: gnammolo
    > peccato ottenga l'effetto opposto, cioè quello di
    > mettersi in ridicolo costantemente davanti a
    > quasi ogni
    > lettore
    Ininfluente.
    Se vuol farsi pubblicita', che se la paghi.
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: gnammolo
    > > peccato ottenga l'effetto opposto, cioè
    > quello
    > di
    > > mettersi in ridicolo costantemente davanti a
    > > quasi ogni
    > > lettore
    > Ininfluente.
    > Se vuol farsi pubblicita', che se la paghi.

    No!Arrabbiato

    http://punto-informatico.it/3732986/PI/News/indici...Arrabbiato
  • - Scritto da: ruppolo
    > Mi viene in mente la solita frase "costa la metà
    > e fa le stesse cose"
    > Rotola dal ridere
    E il mio vecchio HDD SATA 1 arriva a 16 GB al decimo di secondo, provare per credere:
    fsutil file createnew c:\bio.parco 17179869184
    (script solo per Windows)
    non+autenticato