Un’applicazione web realizzata utilizzando le specifiche HTML5 può riuscire, anche piuttosto agilmente, a riempire completamente il disco fisso azzerando improvvisamente lo spazio a disposizione. Il problema è stato evidenziato dallo sviluppatore Feross Aboukhadijeh che, ricorrendo al nuovo standard Web Storage (consente di memorizzare ampi quantitativi di dati sul sistema locale dell’utente a partire da una normale pagina web), ha allestito un sito web (FillDisk.com
) che mostra come sia possibile riempire l’hard disk con un solo clic del mouse.
Ogni volta che vengono utilizzate, le specifiche Web Storage consentono di memorizzare sul disco fisso locale da 5 a 10 MB di dati, un quantitativo enormemente superiore a quello permesso dai cookie di tipo standard (appena 4 KB). Tutti i moderni browser web (Chrome, Firefox, Internet Explorer, Safari, Opera,…) supportano Web Storage.
Invocando più volte la variabile globale localStorage
(da più sottodomini), Aboukhadijeh è riuscito nell’intento di provocare l’esaurimento dello spazio disponibile sull’hard disk:
Com’è possibile verificare anche nel video, Google Chrome permette la memorizzazione di un certo quantitativo di dati e poi va in crash. Gli altri browser, invece, eccezion fatta per Firefox, rendono il gioco facile all’applicazione malevola che può così riempire il disco. Mozilla Firefox, infatti, sembra immune al problema grazie ad un controllo più stringente sull’utilizzo della variabile localStorage
.
Su un sistema Apple MacBook Pro Retina dotato di disco SSD, la demo messa a punto da Aboukhadijeh è in grado di scrivere su disco 1 GB ogni 16 secondi.
Il programmatore suggerisce a tutti i produttori di browser web di rilasciare prima possibile una patch che consenta di scongiurare attacchi come quello illustrato. Il bug, che comunque non ha alcuna implicazione in termini di sicurezza, è stato segnalato a Google, Apple, Microsoft ed Opera.