Un disque dur plein, c’est un système qui plante, des applications instables et une machine inutilisable. Aussi, quand un développeur découvre que la plupart des navigateurs actuels gèrent mal une fonction HTML 5, permettant ainsi de remplir le disque dur, l’inquiétude est de mise.
Firefox au dessus du lot
Seul Firefox, qui gère la chose « plus intelligemment », sauve sa peau. Les autres navigateurs connus : Chrome, Internet Explorer, Opera, Safari (version iOS et Mac OS), souffrent à plein d’une mauvaise implémentation d’une fonction de HTML5 appelée localStorage.
Lorsqu’elle est mal cadrée, cette fonction permet n’y plus ni moins de remplir le disque dur de la machine en l’espace de quelques secondes ou minutes. Feross Aboukhadijeh, le découvreur de cet exploit, qui a créé un site preuve de concept pour démontrer la véracité de ses assertions, indique que cette faille a empli 1 Go d’espace de stockage toutes les seize secondes sur sa machine. Même avec plusieurs TeraOctets libres, la saturation point rapidement.
Bien la faute des navigateurs
Pourtant, le W3C, qui travaille à la standardisation des technologies du Web, a prévu ce risque et recommande que les navigateurs limitent la quantité d’espace que peut occuper un site Web ou demandent l’autorisation à l’utilisateur d’en occuper plus de 5 Mo. Et d’ailleurs Chrome fixe une limite à 2,5 Mo par domaine, Firefox et Opera atteignent 5 Mo, Internet Explorer monte jusqu’à 10 Mo, etc. Mais alors où est le problème ?
Le souci survient quand, comme Feross Aboukhadijeh, on s’interroge sur ce qui se passe si on multiplie les sous-domaines, par exemple, a2.example.com, a3.example.com, etc. ?
Une fois encore, les spécifications du W3C ont prévu ce cas et conseillent de faire attention aux sites qui utilisent des sous-domaines pour stocker plus de données et de limiter l’espace de stockage qu’ils peuvent utiliser. Pourtant, « ni Chrome, ni Safari, ni Internet Explorer n’implémentent actuellement une limitation de l’espace de stockage pour les « sites affiliés », écrit Feross Aboukhadijeh.
Dès lors, tant que cette fonction HTML 5 ne sera pas mieux gérée par les navigateurs utilisés au quotidien, le risque existe que des personnes mal intentionnées développent des sites qui satureront vos disques et feront planter vos machines, sans l’ombre d’un virus ou d’un cheval de Troie…
Sources :
Le blog de Feross Aboukhadijeh via The Verge
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
