Internet-Software, Browser, FTP, SSH 4.422 Themen, 35.700 Beiträge

News: Entwickler zu faul zum Lesen?

Alarm: HTML5-Fehler lässt Browser Festplatten vollmüllen

Michael Nickles / 8 Antworten / Baumansicht Nickles

Die effektive Nutzung von Webseiten setzt in vielen Fällen voraus, dass Daten lokal auf den  Rechnern der Besucher gespeichert werden, um sich beispielsweise deren bevorzugte Einstellungen für die Webseite zu merken.

Dabei kommen meist die sogenannten (und oft zu unrecht verhassten) Cookies zum Einsatz. Cookies sind recht kleine Dateien, es passen nur rund 4 KByte Daten rein. Mit dem neuen HTML5-Webstandard wurden deutlich großzügigere Datenmengen zugelassen, die je nach Browser bis zu 10 MByte umfassen dürfen.

Laut Hacking-Experte Feross Aboukhadijeh erlaubt Chrome pro Quelle 2,5 MByte, bei Firefox und Opera sind es 5 MByte und der Internet Explorer lässt gar 10 MByte zu. Im Hinblick auf heutige Speicherkapazitäten sind diese paar MByte gewiss kein Problem.

Allerdings hat Feross Aboukhadijeh einen bitterbösen Fehler bei HTML5 entdeckt. Damit ist es (böswilligen) Webseiten möglich, die Speicherbarrieren der Browser zu brechen. Sie können die Festplatten ihrer Besucher praktisch mit beliebigen Inhalten bis zum Anschlag vollmüllen.


Beweisdemos hat Feross Aboukhadijeh auf seiner Webseite veröffentlicht. Es ist ausdrücklich nicht ratsam, diese Demos beziehungsweise die jeweiligen Webseiten aufzurufen (drum hier auch keine entsprechenden Links), da die Platte dann gnadenlos vollgeknallt wird.

Aboukhadijeh hat seine sogenannte "HTML5 Hard Disk Filler API" (Festplatten-Füller-Schnittstelle) auch im Sourcecode veröffentlicht, jeder kann sie ab sofort also missbrauchen. Gleichzeitig hat der Entdecker des Fehlers auch die betroffenen Browser-Hersteller informiert und sie zum Beheben des Problems aufgefordert.

Kein Handlungsbedarf besteht erfreulicherweise beim Firefox. Dort ist die Implementierung des lokalen Speichermechanismus anscheinend clever genug um eine Müllattacke zu verhindern.

Michael Nickles meint:

Das Problem hat sich wohl schon mal daraus ergeben, dass die HTML5-Spezifikationen bei der lokalen Speichernutzung zu lasch sind beziehungsweise von den Browser-Herstellern missachtet wurden.

Browser-Hersteller werden darin aufgefordert die zulässige Speichermenge zu limitieren. Die Limitierung wurde natürlich exakt im Hinblick auf das drohende Problem (das es jetzt gibt) angedacht.

Erschreckend ist übrigens, wie billig der Trick ist, mit dem das Speicherlimit durchbrochen wird. Die betroffenen Browser werden einfach mit Subdomains einer böswilligen Webseite ausgetrickst, die dort in beliebiger Menge eingerichtet werden und dann jeweils die zulässige Datenmenge rüberschaufeln können.

Die totale Zumüllung findet also paketweise statt. Auch vor dieser Gefahr mit Subdomains wird in den HTML5-Spezifikationen ausdrücklich gewarnt und Browser-Entwickler sollten das entsprechend beachten. Gründlich gelesen wurden die Hinweise anscheinend aber nur von den Firefox-Machern.
bei Antwort benachrichtigen
winnigorny1 Michael Nickles

„Alarm: HTML5-Fehler lässt Browser Festplatten vollmüllen“

Optionen

Na, das ist ja der Knaller! - Was bin ich glücklich, dass ich seit Jahr und Tag - auch wenn manche Version nicht so toll lief - dem FF die Treue gehalten habe! Lachend

Grüße aus Hamburg, Winni - https://www.das-bumerang-projekt.de
bei Antwort benachrichtigen
mi~we Michael Nickles

„Alarm: HTML5-Fehler lässt Browser Festplatten vollmüllen“

Optionen

"Fills up 1 GB every 16 seconds on my Macbook Pro Retina"
Wie geht denn das? 1 GB in 16 Sekunden? Das kann doch nicht alles in der kurzen Zeit von anderen Rechnern runtergeladen werden. *grübel*

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
Borlander mi~we

„"Fills up 1 GB every 16 seconds on my Macbook Pro Retina" ...“

Optionen
Das kann doch nicht alles in der kurzen Zeit von anderen Rechnern runtergeladen werden. *grübel*
Lokal genererieren geht deutlich schneller ;-)
bei Antwort benachrichtigen
gelöscht_265507 mi~we

„"Fills up 1 GB every 16 seconds on my Macbook Pro Retina" ...“

Optionen

Ich denke mal, es wird nur der Speicherplatz belegt, drin ist nichts oder fast nichts.

Lege Die mal eine feste Auslagerungsdatei von 3 GB an, die ist auch sehr schnell fertig.

bei Antwort benachrichtigen
mi~we gelöscht_265507

„Ich denke mal, es wird nur der Speicherplatz belegt, drin ...“

Optionen

Wenn da nur Speicherplatz reserviert wird, ohne dass gleich Daten runtergeladen werden, ist das natürlich was anderes!

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
IRON67 Michael Nickles

„Alarm: HTML5-Fehler lässt Browser Festplatten vollmüllen“

Optionen

Opera ist ebenso immun gegen diesen Fehler, wie ich grad erfuhr.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
reader IRON67

„Opera ist ebenso immun gegen diesen Fehler, wie ich grad ...“

Optionen

Es frägt sehr vornehmerweise nach - ob du denn so viel speicher auch zulassen willst.
Das ist IMHO die bessere Art - etwas weniger Userbevormundung, mehr glaube dass der User vlt doch keine zweistellige IQ hat. Mit koma.

bei Antwort benachrichtigen
IRON67 reader

„Es frägt sehr vornehmerweise nach - ob du denn so viel ...“

Optionen
mehr glaube dass der User vlt doch keine zweistellige IQ hat

Meiner Erfahrung nach wäre dies aber die Regel.

Es öffnete sich eine Seite,und dann wurde ein download gestartet,wobei mir zur Auswahl stand,ob ich ihn Starte oder Speichere [...] Vorsichtshalber habe ich ihn nur gestartet, ...[gefunden im PC-Welt-Forum]
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen