对浏览器厂商来说,上星期可能是比较“囧”的一周。因为一位外国发烧友披露的HTML5漏洞,让几乎所有的浏览器都成了垃圾数据挤爆电脑硬盘的帮凶,IE、Opera、Chrome、Safari在内的多款著名浏览器纷纷中枪。这究竟是怎么回事呢?本期《一周新闻点评》告诉你答案!
一周新闻点评:HTML5漏洞导致硬盘被挤爆
HTML5技术最大的优点就是跨平台特性。一款基于HTML5框架的游戏,可以很轻易地移植到任意一个浏览器的开放平台,甚至可以发放到App Store或Google Play上。这无疑大幅度缩短了软件公司的开发周期,降低了开发难度。这也是大多数人对HTML5有兴趣的主要原因。
但是,上周一位外国开发者曝光了HTML5架构的一个严重漏洞。该漏洞允许网站利用垃圾数据对用户展开轰炸,甚至会在短时间内将硬盘塞满,包括多款主流浏览器均会受此影响,包括苹果Safari、谷歌Chrome、微软IE和Opera等。目前,唯一能够阻止数据大量加载的是Mozilla的火狐浏览器,因为该产品对数据存储设置了5MB的上限。
曝光者阿伯克哈迪杰哈在他的博客里指出,像32位浏览器会在磁盘被填满时崩溃。“经过巧妙编码的网站,可以在访问者的电脑上无限制地存储数据”。
这个漏洞的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数,但很多都支持用户自定义限制,且至少会在用户电脑上存储2.5MB数据。
测试网站(http://www.filldisk.com/)
但是,如果创建了大量与用户访问过的网站链接的临时网站,也会存储与主网站相同量的数据。如果这样的网站足够多,电脑可能会被海量数据挤满。
“一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”曝光者已经发布一组代码来利用该漏洞,并创建了一个名为Filldisk的专用网站来凸显该漏洞的危害。他已经将此事报告给受影响的浏览器开发商,但尚未发现恶意行为的大面积爆发。目前尚无浏览器厂商推出修正好的产品。
扫描二维码下载
