HTML 5 è l’ultimo standard per le pagine web sulla rete. Permette, insieme all’ultima generazione di CSS, di disegnare pagine web interattive e animate senza dover ricorrere a soluzioni proprietarie come quella di Adobe, Flash, tanto disprezzata da Steve Jobs ai tempi del primo (e secondo, e terzo) iPhone. Ora un bug di HTML 5 apre la strada ai malintenzionati che vogliono scaricare immondizia digitale nei vostri computer.
A scoprire il punto debole di HTML 5 è stato lo sviluppatore Feross Aboukhadijeh. Il bug permette di dumpare dati sul computer della vittima. Interi GB di file possono essere scaricati sul PC della vittima senza che questa se ne accorga e possa bloccare il processo, portando anche ad un crash del computer. Il bug può essere exploitato in diversi browser, tra cui Safari, Chrome, Internet Explorer e Opera. Pare che fino a questo momento l’unico software in grado di mettere i bastoni fra le ruote al bug sia Firefox, che ha un limite sulla quantità di dati scaricati automaticamente dal browser di soli 5MB.
In realtà molti browser hanno parametri di stoccaggio dei dati non troppo differenti da questi, e molti mettono un limite ai dati scaricati automaticamente intorno ai 2,5MB. Aboukhadijeh ha scoperto però un modo per aggirare questo limite e permettere il download automatico di quantità potenzialmente illimitate di dati su un computer. Il funzionamento del sistema non è complicato.
È possibile sviluppare un sistema che scarica 2,5 MB da una pagina principale e apre automaticamente centinaia di pagine secondarie, ordinando una enorme quantità di piccoli donwload in grado di riempire rapidamente un disco. Aboukhadijeh è riuscito a scaricare 1GB di dati in 16 secondi sul suo MacBook Pro con Retina Display (e ovviamente un disco a stato solido). Secondo lo sviluppatore è possibile che un browser a 32 bit come Chrome possa andare in crash prima che un disco rigido venga riempito:
Siti sviluppati in maniera intelligente hanno praticamente uno spazio illimitato sul computer del visitatore.
Per rendere nota la cosa, il developer ha rilasciato un codice con un exploit che permette di sfruttare il bug e aperto un sito, chiamato Filldisk, che mette in risalto la falla. Il sito permette di scaricare quantità gigantesche di immagini di gatti sul computer su cui il software viene fatto girare.
Il bug deve ancora essere utilizzato da un malintenzionato, ed è già stato segnalato a Google, Apple e Opera.
[via]
Giovanni 04/03/2013 il 20:28
Sapete consigliarmi un libro per imparare HTML e css ??
ciuski 04/03/2013 il 22:39
1GB di dati in 16 nanosecondi?
Il sito originale dice 16 secondi
Rnhmjoj 05/03/2013 il 00:37
@ciuski: Che connessione ha? La voglio anch’io!
Comunque non mi sembra chissà che falla. Per riempire un 1GB di spazio sul disco servono 400 sottodomini dello stesso sito.
Lorenzo Paletti 05/03/2013 il 00:38
@ciuski: Hai ragione. Effettivamente era un trasferimento di dati smodato. Corretto.
Federico 06/03/2013 il 02:11
LOL quanta ignoranza! Qualcuno mi spieghi come può il codice HTML che è un linguaggio di MARKUP ad avere un “BUG”.
Casomai sono i browser ad essere buggati anche se definirlo bug è improprio. E questa notizia non è nemmeno granchè solo qualche altro sito disgraziato e male informato ha diffuso questa scemenza.