Веб-разработчик Феросс Абухадижех, который успел поработать в Facebook, опубликовал интересную информацию об эксплойте для современных браузеров, поддерживающих язык HTML5. Для демонстрации его возможностей программист открыл специальный сайт, позволяющий оперативно заполнить жесткий диск своего компьютера «котиками» (иначе говоря — не нужной информацией).
Скорость заполнения диска зависит от скорости соединения с интернетом и вида накопителя (твердотельные заполняются данными значительно быстрее). Уязвимость характерна для всех популярных браузеров — Chrome, Safari, Opera и Internet Explorer, кроме Firefox (как пишут в связи с этим в комментах насчет последнего: Thats why Firefox is superior in all ways).
Правда, некоторые из этих программ могут выводить предупреждение о том, что посещаемый сайт требует дополнительного пространства для хранения данных (зависит от настроек по умолчанию в каждом конкретном случае), другие же просто делают свое «черное» дело молча, никого не тревожа (как Google Chrome, например).
Для обхода ограничений сайт, открытый Фероссом Абухадижехом, использует субдомены, каждый из которых загружает на компьютер свою порцию данных.
На ресурсе filldisk.com (хе-хе, не рекомендую посещать его, хотя и так он сейчас находится под DDoS’ем) имеется кнопка «отката», которая после эксперимента типа как должна дать команду на удаление загруженного «мусора». Однако она срабатывает не всегда, и пользователь вынужден вычищать последствия вручную. Также посещение этого сайта сказывается на производительности системы.
Мой скриншот того самого «опасного кошачего» сайта — filldisk.com
Короче, теперь эту ссылку можно молча кидать на стену разным ТП в ВКонтакте.
Этот эксплойт просто нестандартно использует задокументированную в спецификациях HTML5 возможность и не является строго говоря «хаком» или взломом, а также не может получить доступ к пользовательским данным. Исходники данного JavaScript’a можно сразу невозбранно глянуть в GitHub’e. Всё построено на использовании Web Storage standard (в частности, его опции localStorage
), что позволяет стремительно загаживать ваш винт, независимо от того, хочется вам этого, или нет. В свою очередь динамически генерируемый поддомены позволяют обходить все заложенные на домен ограничения, разве это не прекрасно?
Жаждущим подробностей и технических деталей — можно почитать здесь, либо глянуть видео Proof-of-concept ниже:
1 комментарий
> Chrome, Safari, Opera и Internet Explorer, кроме Firefox
Opera также "не до бесконечности" заполняет диск, а заполняет до значения параметра "Global Quota For Databases", посмотреть который можно через about:config, а затем спрашивает заполнять ли дальше "до бесконечности".
Тестовую страницу также можно посмотреть и удобно попользоваться можно здесь:
http://arty.name/localstorage.html