Lo studente di informatica e sviluppatore web Feross Aboukhadijeh ha identificato un nuovo problema in HTML5, o meglio nell’implementazione delle specifiche della più recente revisione del linguaggio ipertestuale del World Wide Web nei browser più popolari. Il problema è potenzialmente pericoloso, ma non riguarda la sicurezza in senso stretto.
Lo sviluppatore ventiduenne ha messo in mostra quanto scoperto con un sito dimostrativo, www.filldisk.com/ (AVVISO: il lettore visita la pagina a suo rischio e pericolo) e il relativo codice sorgente in JavaScript : la specifica “localStorage” di HTML5 prevede l’allocazione di cookie di dimensioni molto maggiori rispetto alla norma, e tale allocazione può essere “sequestrata” con una scrittura continua di dati sul disco fisso (sia esso magnetico o a stato solido) fino al crash del browser o al riempimento di tutto lo spazio disponibile sul volume.
Ogni nome di dominio ha un limite prefissato di storage locale a propria disposizione, spiega Aboukhadijeh, ma servendosi di sottodomini e domini affiliati al dominio principale è possibile aggirare tale restrizioni. Nei test dello sviluppatore, il codice dimostrativo è in grado di riempire 16 Gigabyte ogni 16 secondi sul disco SSD di un Macbook Pro Retina.
Dei browser più popolari, solo Firefox e Opera sembrano immuni all’exploit non autorizzato dello storage di HTML5. Gli sviluppatori di Google Chrome ammettono di essere in fallo, e indicano l’implementazione localStorage di Firefox come quella più sicura contro il potenziale rischio di abuso dello spazio su disco fisso.
Alfonso Maruccia