El desarrollador Feross Aboukhadijeh ha encontrado un fallo de seguridad en los navegadores Apple Safari, Opera Web Browser, Google Chrome y Microsoft Internet Explorer en la forma en la que implementan los límites del almacenamiento local "LocalStore" en HTML5. Cada uno de estos navegadores tiene establecido un límite máximo para cada origen que intente almacenar datos en local, estos son:
- Google Chrome: 2.5 MB
- Mozilla Firefox y Opera: 5 MB
- MS Internet Explorer: 10 MB
Sin embargo, la definición del estándar dice que deben establecerse límites máximos para la suma de sitios afiliados, es decir, para cuando sea s1.origen.com, s2.orgien.com, s3.origen.com ... pero ni Google Chrome, ni Opera, ni Apple Safari, ni MS Internet Explorer los tienen, así que con la prueba de concepto creada por el investigador llamada Fill Disk, demuestra cómo saltarse esos límites.
Figura 1: FillDisk.com entrando on un Mozilla Firefox (safe!) |
Solo estás a salvo entrando con Mozilla Firefox, si entras con Apple Safari, Opera o Google Chrome con tu Mac OS X, tu disco duro empezará a perder espacio, por lo que ten cuidado. En este vídeo tienes una demo de cómo funciona este sistema. Puedes descargar el código de la Prueba de Concepto.
Figura 2: Vídeo demostrativo del bug de LocalStore en HTML5
No hay comentarios:
Publicar un comentario