HTML5のWebストレージAPIにHDDの空き容量を簡単に埋められるバグ
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
スタンフォード大学コンピューター科学の学生、Feross Aboukhadijehさんは、Chrome、Safari、Operaの各ブラウザに共通する深刻なバグを発見した。これを悪用すれば、トラップを仕掛けられたWebページをクリックするだけで、HDDなどのローカルストレージが満杯にされてしまうらしい(Feross Aboukhadijehさんのサイト、Chromeのバグ報告、本家/.)。
説明によればHTML5には、5~10MBのデータを保存するためのWebストレージのためのAPIが用意されているという。規定ではこのAPIを使用するとき、ブラウザ側で書き込み可能なデータの総量を制限するよう指定されており、Google Chromeでは1ドメインあたり2.5MB、FirefoxやOperaでは5MB、Internet Explorerでは10MBに制限が設定されている。しかし、1.filldisk.com、2.filldisk.com、3.filldisk.comなどのサブドメインをたくさん作った場合、この制限を回避できてしまうようだ。
ただし、Feross Aboukhadijehさんによれば、Firefoxではこの攻撃ができないように対策が施されているとのこと。
HTML5のWebストレージAPIにHDDの空き容量を簡単に埋められるバグ More ログイン