Chrome, Internet Explorer и Safari уязвимы к загрузке огромного количества ненужных данных

image

Теги: HTML5, уязвимость, браузер

Исследователь представил инструмент для загрузки на компьютер жертвы гигабайтов нежелательных данных.

Web-разработчик Феросс Абукадижей (Feross Aboukhadijeh) представил простой в исполнении эксплоит, который позволяет сайту тайно загружать на компьютеры пользователей гигабайты мусорных данных.

Разработчик заявил, что эксплоит под названием FillDisk.com загружает данные на жесткий диск компьютера жертвы без взаимодействия с самим пользователем и работает с браузерами Google Chrome, Microsoft Internet Explorer и Apple Safari.

FillDisk.com использует стандарты web-хранения, включая спецификации протокола HTML5. Эти стандарты позволяют разработчикам сделать использование сайтов проще, поскольку сохранение данных осуществляется напрямую на жесткий диск посетителя. Такая функция может оказаться полезной, если пользователю приходится заполнять длинные формы. В том случае, если браузер отключился до того, как форма была полностью заполнена, данные, которые были введены ранее, будут доступны после следующего посещения сайта.

Разработчики стандарта специально предупреждают, что создатели сайтов не должны злоупотреблять подобной функцией и ограничивать количество данных, которые могут быть записаны на жесткий диск пользователя.

Отметим, что браузеры Chrome, IE и Safari ограничивают это количество, однако это ограничение находится на поддоменах, а не на основном домене, которому они принадлежат. Эксплоит FillDisk.com создает поддомены, к примеру, 1.filldisk.com или 2.filldisk.com, и загружает на каждый из них максимально-дозволенное количество данных.

Среди всех протестированных разработчиком браузеров, блокировать загрузку может только Firefox.

По словам создателя, эксплоит устроен таким образом, что не может скомпрометировать данные пользователя или загрузить какое-либо вредоносное ПО. Тем не менее, «бомбардировка» данными может вызвать аварийное отключение некоторых версий браузера Google Chrome.


или введите имя

CAPTCHA
destelunix
01-03-2013 13:59:50
ОШИБКА В СЛОВЕ!!! ...и работает с браузерами Google Chgrome, Microsoft Internet Explorer и Apple Safari.
0 |
Ctrl+Enter
01-03-2013 14:04:29
Можно не кричать, а просто выделить ошибку и нажать Ctrl+Enter.
0 |
01-03-2013 14:09:59
Спасибо, исправили.
0 |
28607
01-03-2013 15:48:45
Среди всех протестированных разработчиком браузеров, блокировать загрузку может только Firefox. эксплоит... FillDisk.com ...работает с браузерами Google Chrome, Microsoft Internet Explorer и Apple Safari. вывод: Opera
0 |
Loki
01-03-2013 16:35:59
У меня для Вас плохие новости.Меняет и поменяла-суть разные вещи.Пока Опера всё ещё на Presto ,да и как оно там будет дальше-тоже не известно.
0 |
01-03-2013 18:14:14
Это действительно плохие новости. Монополия webkit - это куда хуже имевшейся лет пять назад на рынке браузеров монополии Trident: Microsoft, в отличие от Google, как минимум не уничтожает последовательно пользовательскую приватность, не тянет к себе максимум данных, до которых дотянется, и не относится по-хамски к безопасности. Более того, судя по отчётам secunia, Chrome сейчас - лидер по "дырявости" среди браузеров, да и Safari дыряв весьма. Даже у Мозиллы и то результаты лучше, хотя, конечно, и тем и другим далеко до IE и Opera. Разумеется, можно сказать, что webkit - это ещё не Сhrome и не Safari, но, в конце концов, код тех и других пишется в основном одними и теми же кодерами, так что... делаем выводы. Рынок браузеров вступает в печальную эру. R.I.P. Opera, мне очень жаль этот прекрасный браузер. И хорошо хоть, что это произошло тогда, когда для IE появилось достаточно расширений, чтобы построить Opera-like функционал с жестами и адблоком.
0 |
Начинающий
02-03-2013 10:10:57
Проблема есть, существует, озвучена - вопрос: в какую папку сохраняются эти ненужные данные и как очистить от них компьютер?
0 |
63066
04-03-2013 07:49:44
и можно ли управлять этой папкой ср-ми ОС, например назначить квоту?
0 |
05-03-2013 23:29:39
Скорее использовать что-то типа такого механизма: Фиксируем запуск демона движка, запускаем модуль контроля, отслеживаем каталог куда пишется поток данных и периодически чистим его от устаревших по времени данных. Если ФС позволяет от имени root вешаем на данный каталог ещё и квоту задолго до его переполнения. Думаю этот фокус должен снизить остроту проблемы помойки.
0 |
14-03-2013 00:31:08
Ждем эксплойтов на мобильных версиях сайтов популярных провайдеров мобильного интернета... грузящих паразитные данные с целью оплаты лишнего траффика.
0 |