S

tandard Web Storage, który jest aktualnie wspierany przez współczesne przeglądarki (Chrome, Firefox 3.5+, Safari 4+, IE 8+ itd.) pozwala na przechowywanie określonej ilości danych (w zależności od przeglądarki jest to od 2.5 – 10 MB) na lokalnym dysku użytkownika. Zgodnie z standardem przeglądarki powinny wprowadzać limity przestrzeni jaką może wykorzystać ta funkcjonalność. Na przykład dla poszczególnych przeglądarek są to:

• Google Chrome – 2.5 MB
• Mozilla Firefox i Opera – 5 MB
• Internet Explorer – 10 MB

Limity te ustawiane są per źródło – czyli domena / strona, którą odwiedzamy. A co jeśli ktoś stworzy sobie wiele subdomen np. w postaci 1.domena.pl, 2.domena.pl, 3.domena.pl oraz z każdej zarezerwujemy i wykorzystamy po 5MB przestrzeni dyskowej? Ponownie odwołując się do standardu – to przeglądarka powinna chronić przed tego rodzaju obejściami i nakładać limit dyskowy, jak dla pojedynczego źródła. Niestety, jak sprawdził i udowodnił Feross Aboukhadijeh oprócz przeglądarki Firefox inne user agenty pozwalają na całkowite zapełnienie dysku różnego rodzaju śmieciami (które niekoniecznie muszą być legalne i zdrowe dla naszego komputera). Strona proof-of-concept filldisk.com pozwala na przeprowadzenie demonstracji (wraz z przyciskiem odzyskującym miejsce). Według testów odkrywcy tego niedociągnięcia – tak spreparowana strona pozwala na zapełnienie 1GB dysku SSD w 16 sekund, a w 32-bitowe wersje przeglądarek poddane takiemu testowi mogą doprowadzić do swojego zawieszenia.

Więcej informacji: DOM Storage