ご参考 (#2336301) | HTML5 の Web ストレージ API に HDD の空き容量を簡単に埋められるバグ | スラド

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

「HTML5 の Web ストレージ API に HDD の空き容量を簡単に埋められるバグ」記事へのコメント

記事ページを表示すべてのコメント取得

検索16コメント Log In/Create an Account

ご参考 (スコア:4, 参考になる)

by Motohiko (15295) on 2013年03月04日 11時20分 (#2336301) ホームページ

Bug 367373 [mozilla.org] - DOM storage quota should exclude offline-app allowed domains
The mechanism implemented, however, is based on the -host- name which allows a malicious site to abuse the storage space by creating sub-domains. The spec warns against this too:
User agents should consider additional quota mechanisms (for
example limiting the amount of space provided to a domain's subdomains
as a group) so that hostile authors can't run scripts from multiple
subdomains all adding data to the global storage area in an attempted
denial-of-service attack.

6年前の仕様で既に警告されていたらしい (現行の仕様 [w3.org]だと"subdomains"ではなく"multiple domains"だけど)。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ