HTML 5 : une faille dans la gestion du stockage local

Christophe Laporte |
Feross Aboukhadijeh a publié une vidéo d’une preuve de concept montrant qu’un site malicieux peut saturer votre disque dur en exploitant une faille liée à la gestion du stockage local. Selon le développeur, tous les navigateurs web (Safari, Chrome, Internet Explorer, Opera) sont concernés à l’exception notable de Firefox qui dispose d’un mécanisme arrêtant le stockage de données lorsque les 5 Mo sont atteints.



Le problème est lié à la manière dont le HTML 5 gère le stockage des données en local. Tous les éditeurs gèrent la notion de limite de stockage, mais Aboukhadijeh a réussi à la contourner en générant un site exploitant une multitude de sous-domaines. Ce cas a mal été pris en compte par les différents éditeurs à l’exception de la fondation Mozilla.

Comme le montre la vidéo, sur un MacBook Pro Retina, il est parvenu à "stocker" 1 Go de données en seulement 16 secondes. D’après lui, son exploit peut planter avant de saturer le disque avec des navigateurs web qui comme Chrome fonctionnent en 32 bits.

Avant de publier sa preuve de concept, Feross Aboukhadijeh a averti l’ensemble des éditeurs concernés.
Tags
#sécurité #navigateur web #HTML5
avatar alan63 | 
ma vie sans FLASH , sans HTML5 oh p'tain là on va se faire riech ....
avatar BooBoo | 
C'est plus un bug qu'une faille !! Il n'y a pas d'accès à des données privées, ni d'exécution de code malveillant !
avatar 33man | 
En attendant... Avoir un disque plein... C'est pas comme perdre sa carte de crédit ou pirater son compte mail... Bref voilà rien de très grave
avatar Orus | 
Toutes failles, tout bug, est un danger.
avatar Mabeille | 
mince c'était facile de tzper sur Adobe avec leurs soucis dans acrobat et flash player .... la solution de steve? html5 mes amis et là pan voilà qu'html5 a aussi des failles, mais dites moi c'est adobe ou microsoft qui dev html5? ... en tout cas on dirait!!!
avatar Mark Twang | 
Go Firefox !
avatar free00 | 
Les commentaires des internautes me font rire. A croire qu'ils découvrent que les logiciels peuvent avoir des failles. De plus HTML5 est développé par W3C qui a développé des formats comme HTML, PNG ou CSS. HTML5 ne se désactive pas
avatar BooBoo | 
@Orus : non, tout bug n'est pas un danger. Tu peux avoir un bug qui fait juste planter une application, ou rend une fonction non fonctionnelle. Des informations comme celle là sont juste pour faire parler de l'auteur de la découverte ! Certains bug peuvent être exploité et deviennent des failles. Pour ce bug, on en est pas là. Mais une faille n'est pas forcement un bug.
avatar Shralldam | 
@Mabeille: Le problème avec Flash n'était pas limité aux seules failles. Les plugins en général peuvent nuire à la stabilité d'un produit, et s'ils sont propriétaires (comme Flash), rendent les créateurs de contenus dépendants d'une technologie dont l'avenir est contrôlé par une seule entité. HTML5 ne s'est pas fait en un jour, loin de là. C'est quand on voit la découverte de telles failles qu'on comprend à quel point il faut être prudent lors de l'établissement d'une nouvelle norme. La grosse différence, c'est qu'HTML5 n'est [i]a priori[/i] pas sous le contrôle d'une entité unique, même si son développement a fortement été influencé par des groupes de travail dont des employés d'Apple, Google, Microsoft, etc. font partie. Pour développer un site en Flash, il faut acheter le logiciel. Pour développer un site en HTML5, il faut juste un éditeur de code (si on s'y connaît bien).
avatar ichimusai | 
Proof of concept à traduire par démonstration ici. En français quoi
avatar Johnny B. Good | 
@Mabeille : Rrrrrrrrr... Zzzzzzzzz...
avatar DrFatalis | 
Tiens, hier, par hasard, j'ai découvert que safari n'est pas considéré comme un navigateur HTML5 sur wikimedia: il est incapable de lire les videos en ogg qui s'y trouvent, et un message le signale...
avatar Goldevil | 
@[MGZ] Shralldam : "Pour développer un site en Flash, il faut acheter le logiciel. Pour développer un site en HTML5, il faut juste un éditeur de code (si on s'y connaît bien)." Ce n'est plus vraiment la situation. Flash est un format ouvert et beaucoup d'autres logiciels génèrent du Flash comme l'excellent MotionComposer d'Aquafadas (ou même d'anciennes versions de Keynote!) Pour information, Adobe a donné le framework Flex à la fondation Apache. Il incube pas mal chez Apache et une nouvelle version est sortie. Pour faire non pas des animations mais une véritable application en Flash, le framework Flex est bien mieux adapté. De manière générale, si un simple éditeur de code suffit souvent, un développement sérieux nécessite un IDE solide, quel que soit le langage. Oui, on peut se passer de XCode, Eclipse, Flex Builder, IDLE ou Visual Studio. En pratique, ces IDE sont tellement pratiques qu'ils sont indispensables.
avatar ziggyspider | 
@ Goldevil, voilà qui est bien résumé !
avatar joneskind | 
Alors en gros, le développeur a exploité une caractéristique de l'HTML5 qui permet de stocker des informations en local pour saturer un disque sur ? Je ne vois pas bien où est la faille moi. Il n'a rien cassé dans le code. Le HTML5 s'est comporté exactement comme il aurait du se comporter. Ce n'est donc pas une faille mais un cas de figure qui n'a pas été traité par les développeurs. On est très loin du programme sensé ouvrir un PDF mais qui exécute du code malicieux à la place. Ça n'empêche que ça peut être emmerdant - même si pour ma part je ferme systématiquement une page si celle-ci bloque un certain temps sur chargement.
avatar niamor | 
Il me semble comprendre que ce n'est pas HTML5 qui a une faille mais les navigateurs qui l'implémentent, hormis un.
avatar subsole | 
Dans la vidéo, le MBPr est sous Windows, les données sont stockées dans C. ^^

CONNEXION UTILISATEUR