HTML5 Cookie漏洞可将硬盘空间爆满

ZDNet至顶网软件频道消息：编者按：斯坦福大学的开发者发现了HTML5 Cookie漏洞，大量的Cookie文件可以在很短时间里通吃掉用户的硬盘空间，存在HTML5漏洞的浏览器包括谷歌Chrome、微软IE和苹果Safari，火狐浏览器未出现这一漏洞，他们以更聪明的方式实施了HTML5的本地存储技术规范。

据国外媒体报道，HTML5是新一代的网页应用开发技术，一些人认为其将会取代iOS和安卓客户端开发技术。不过，美国一名22岁的WEB 开发工程师最近发现HTML5在浏览器厂商的实施中发生一个大漏洞，大量的Cookie文件可以在很短时间里通吃掉用户的硬盘空间。

斯坦福大学的开发者Feross Aboukhadijeh发现了这一漏洞，据称，存在HTML5漏洞的浏览器包括谷歌Chrome、微软IE和苹果Safari.他为这一漏洞提供了概念性攻击模型，此外还提供了演示网页。

这位开发者解释说，HTML5网页技术标准中，可以允许网页在用户电脑中保存比过去多的自定义数据（方式为Cookie）。过去每一个网站可以保留4KB 的数据，不过HTML5网站根据规范可以保存的数据量从5到10MB不等。因为如今的硬盘空间都很大，这点数据量不算什么。

据称，Chrome每次登录会保留2.5MB数据，火狐和Opera则保存5MB，IE则会保存10MB.根据HTML5的技术规范，网站的子域名在发生 登录时，必须共享使用网站的Cookie数据保存空间（不得另开空间），然而Chrome、Safari、IE等浏览器，没有遵守这一规则。

这位开发者指出，恶意网站可以进行精心编码，侵占掉用户全部硬盘空间。在演示攻击中，他在16秒时间里，用海量Cookie占用了用户1GB的硬盘空间。显然，一部平板或智能手机，可能在几分钟时间里损失全部存储空间。

在实验中，Feross Aboukhadijeh发现，谷歌Chrome浏览器会在硬盘填充完毕之前就崩溃退出。

据称，火狐的HTML5实施并未出现这一漏洞，他们以更聪明的方式实施了HTML5的本地存储技术规范。