HTML5 の Web ストレージ API に HDD の空き容量を簡単に埋められるバグ

2013年3月4日 10:50

印刷

記事提供元:スラド

 ある Anonymous Coward 曰く、

 スタンフォード大コンピューターサイエンス学科の学生である Feross Aboukhadijeh 氏は、Chrome、Safari、Opera の各ブラウザに共通する深刻なバグを発見した。これを悪用すれば、トラップを仕掛けられた Web ページをクリックするだけで、HDD などのローカルストレージが満杯にされてしまうらしい (Feross.org の記事Chrome の Issues本家 /. 記事より) 。

 説明によれば HTML5 には、5 ~ 10 MB のデータを保存するための Web ストレージのための API が用意されているという。規定ではこの API を使用するとき、ブラウザ側で書き込み可能なデータの総量を制限するよう指定されており、Google Chrome では 1 ドメインあたり 2.5 MB、Firefox や Opera では 5 MB、Internet Explorer では 10 MB に制限が設定されている。しかし、1.filldisk.com、2.filldisk.com、3.filldisk.com などのサブドメインをたくさん作った場合、この制限を回避できてしまうようだ。

 ただし、Aboukhadijeh 氏によれば、Firefox ではこの攻撃ができないように対策が施されているとのこと。

 スラッシュドットのコメントを読む | ITセクション | インターネット | IT

 関連ストーリー:
W3C、ついに HTML5 仕様策定完了 2012年12月19日

 

※この記事はスラドから提供を受けて配信しています。

関連記事