Internet-Software, Browser, FTP, SSH 4.648 Themen, 38.234 Beiträge

News: Entwickler zu faul zum Lesen?

Alarm: HTML5-Fehler lässt Browser Festplatten vollmüllen

Michael Nickles / 8 Antworten / Flachansicht Nickles

Die effektive Nutzung von Webseiten setzt in vielen Fällen voraus, dass Daten lokal auf den  Rechnern der Besucher gespeichert werden, um sich beispielsweise deren bevorzugte Einstellungen für die Webseite zu merken.

Dabei kommen meist die sogenannten (und oft zu unrecht verhassten) Cookies zum Einsatz. Cookies sind recht kleine Dateien, es passen nur rund 4 KByte Daten rein. Mit dem neuen HTML5-Webstandard wurden deutlich großzügigere Datenmengen zugelassen, die je nach Browser bis zu 10 MByte umfassen dürfen.

Laut Hacking-Experte Feross Aboukhadijeh erlaubt Chrome pro Quelle 2,5 MByte, bei Firefox und Opera sind es 5 MByte und der Internet Explorer lässt gar 10 MByte zu. Im Hinblick auf heutige Speicherkapazitäten sind diese paar MByte gewiss kein Problem.

Allerdings hat Feross Aboukhadijeh einen bitterbösen Fehler bei HTML5 entdeckt. Damit ist es (böswilligen) Webseiten möglich, die Speicherbarrieren der Browser zu brechen. Sie können die Festplatten ihrer Besucher praktisch mit beliebigen Inhalten bis zum Anschlag vollmüllen.


Beweisdemos hat Feross Aboukhadijeh auf seiner Webseite veröffentlicht. Es ist ausdrücklich nicht ratsam, diese Demos beziehungsweise die jeweiligen Webseiten aufzurufen (drum hier auch keine entsprechenden Links), da die Platte dann gnadenlos vollgeknallt wird.

Aboukhadijeh hat seine sogenannte "HTML5 Hard Disk Filler API" (Festplatten-Füller-Schnittstelle) auch im Sourcecode veröffentlicht, jeder kann sie ab sofort also missbrauchen. Gleichzeitig hat der Entdecker des Fehlers auch die betroffenen Browser-Hersteller informiert und sie zum Beheben des Problems aufgefordert.

Kein Handlungsbedarf besteht erfreulicherweise beim Firefox. Dort ist die Implementierung des lokalen Speichermechanismus anscheinend clever genug um eine Müllattacke zu verhindern.

Michael Nickles meint:

Das Problem hat sich wohl schon mal daraus ergeben, dass die HTML5-Spezifikationen bei der lokalen Speichernutzung zu lasch sind beziehungsweise von den Browser-Herstellern missachtet wurden.

Browser-Hersteller werden darin aufgefordert die zulässige Speichermenge zu limitieren. Die Limitierung wurde natürlich exakt im Hinblick auf das drohende Problem (das es jetzt gibt) angedacht.

Erschreckend ist übrigens, wie billig der Trick ist, mit dem das Speicherlimit durchbrochen wird. Die betroffenen Browser werden einfach mit Subdomains einer böswilligen Webseite ausgetrickst, die dort in beliebiger Menge eingerichtet werden und dann jeweils die zulässige Datenmenge rüberschaufeln können.

Die totale Zumüllung findet also paketweise statt. Auch vor dieser Gefahr mit Subdomains wird in den HTML5-Spezifikationen ausdrücklich gewarnt und Browser-Entwickler sollten das entsprechend beachten. Gründlich gelesen wurden die Hinweise anscheinend aber nur von den Firefox-Machern.
bei Antwort benachrichtigen