Заполнение HDD через HTML5 localStorage Хакер Феросс Абукадижи (Feross Aboukhadijeh) прославился прошлом году, когда разработал концептуальный эксплойт HTML5 Fullscreen API для социальной инженерии. Та идея была проста до гениальности: вредоносный фишинговый сайт переключает браузер в полноэкранный режим и рисует в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Сейчас хакер выпустил ещё одну забавную демку, опять с использованием инструментов HTML5. Он открыл сайт FillDisk.com. Если зайти на этот сайт современным браузером, то свободное пространство на вашем HDD начнёт стремительно исчезать. Стандарт HTML5 Web Storage позволяет записывать в локальный кэш на компьютер пользователя значительные фрагменты данных (5-10 МБ). Этот стандарт поддерживается всеми современными браузерами: Chrome, Firefox 3.5+, Safari 4+, IE 8+ и т.д. Стандарт предусматривает, что сайты могут нарушать правила и пытаться записать в кэш больше, чем положено. На этот случай предусмотрено квотирование максимального размера записи на один домен, то есть на один источник записи (origin) через user-agent. Нынешние квоты на origin составляют: 2,5 МБ в Google Chrome 5 МБ в Mozilla Firefox и Opera 10 МБ в Internet Explorer Однако, квоту можно обойти, если использовать поддомены, которые распознаются как разные «источники»: 1.filldisk.com, 2.filldisk.com, 3.filldisk.com и т.д. Спецификации предусматривают, что такие поддомены не должны расширять квоту, но на практике многие браузеры игнорируют это требование и разрешают заполнять диск до предела. Исходный код скрипта filldisk.js , который работает на демо-сайте FillDisk.com. Экплойт успешно работает в Chrome, Safari и IE, но не работает в Firefox, потому что в Firefox более умная реализация localStorage. Разработчики других браузеров, вероятно, исправят баг в ближайшее время: уже оформлены баг-репорт в Chromium , баг-репорт в Apple . 28.02.2013 http://www.xakep.ru/post/60200/
Хех Зашел, вылетел аллерт: You're using Firefox, so you're safe. This demo won't work for you. Try Chrome, Safari, or IE.
Opera, каждый раз при попытке записать что-то вылазит окошко с запросом разрешать или нет. Люблю свой браузер <3
Новый эксплоит заполнит ваш жесткий диск мусором за пару минут Новый эксплоит заполнит ваш жесткий диск мусором за пару минут Независимый веб-разработчик на сайте FillDisk.com продемонстрировал простой для исполнения эксплоит, которые позволяет заполонить весь жесткий диск посетителя сайта случайными данными. Сервис запросто может закидать несколькими гигабайтами мусорных данных пользовательский компьютер всего за одну-две минуты. По словам разработчика сервиса, новая технология работает со скоростью примерно 1гб/16сек и может исполняться в браузерах Microsoft Internet Explorer, Google Chrome и Apple Safari. Разработчик Феросс Абухаджех говорит, что созданный им проект - это простая демонстрация технологии. Работает FillDisk.com путем манипулирования веб-стандартами в спецификации HTML 5. Изначально технология была создана для облегчения работы с тяжелым контентом, размещая часть данных на пользовательских компьютерах. Такой функционал также полезен при работе с большими веб-формами и веб-играми. В W3C, когда данную технологию одобряли, заявили, что разработчикам не следует ей злоупотреблять, а создателям браузеров следует создать загородительные барьеры для защиты компьютеров, но последние таких барьеров так и не создали. У Chrome, IE и Safari лимиты на загрузку данных есть, но они работают с ограничением: только в отношении поддоменов, но не основных доменных имен. На сегодня только Mozilla Firefox лимитирует загрузку подобных данных. Более подробные данные о технологии доступны по адресам http://feross.org/fill-disk/ и https://github.com/feross/filldisk.js Отметим, что в результате данных атак никакие данные к организаторам атаки не утекают и DoS-атаки тоже не происходит. Но вот система хранения заполняется мусором очень быстро. 01.03.2013 http://www.cybersecurity.ru/net/170894.html
Уязвимость в HTML 5 замусорит жесткий диск ненужной информацией Уязвимость в HTML 5 позволяет незаметно для пользователя заполнить его жесткий диск ненужными данными. Эту уязвимость использует, в частности, сайт FillDisk.com, сообщает The Verge. Сайт создал веб-разработчик Феросс Абухадижи (Feross Aboukhadijeh) специально для того, чтобы привлечь внимание производителей браузеров к уязвимости. Уязвимость содержится в стандарте HTML Web Storage, который позволяет записывать в локальный кэш на компьютер пользователя фрагменты данных весом 5-10 МБ. Стандарт ограничивает максимальный размер записи домена, однако эту квоту можно обойти, используя поддомены, которые распознаются как разные «источники» данных, и таким образом заполнить полностью жесткий диск пользователя. Уязвимость действует почти во всех современных браузерах: Chrome, Internet Explorer, Safari и Opera. По сообщениям пользователей форума Antichat.ru (Это где такое сообщили? Я забыла али пропустила ;[), Firefox защищен от нее. 01.03.13 http://www.ruformator.ru/novosti/010313/uyazvimost-v-html-5-zamusorit-jestkiy-disk-nenujnoy-informaciey
ie поддерживает html 5 ? да ну он даже обычный html не поддерживает как надо проверял в опере мини, там нет результата. да и место на компе не пропадало, должался больше 2 гб когда там насчитало - ничего так и не замусорило
http://www.youtube.com/watch?v=yAVtx4UY7Ms на осле не работает =) и на портабл хроме тоже не сохраняет мусор
тут музыка идёт фоновая палевно ссылку кидать, значит что бы потролить кого то надо подсунуть вот эту ссылку, которая генерирует поддомены ?: http://1.filldisk.com/frame.html