HTML5 : une faille peut saturer le disque dur
Source : Tom's Guide par Bruno Mathieu
Étrange découverte que celle qui vient d'être faite : le HTML5 souffre d’un léger bug, qui permet de saturer le disque dur de l’internaute lorsqu’il visite une simple page web. C’est la démonstration qu'a réalisé sur son site Feross Aboukhadijeh, un jeune développeur web de 22 ans, à qui l’on doit déjà YouTube Instant (un moteur de recherche hyper rapide dédiée à la célèbre plate-forme vidéo de Google).
La technique est assez simple : une page web écrite en HTML5 rend possible l’enregistrement d’une série d’informations sur le disque dur de l’internaute qui la consulte. Jusque-là, rien d’extraordinaire. C'est l'équivalent des cookies, mais en plus volumineux. Ce bloc de données est limité pour chaque site, sa taille variant en fonction du navigateur utilisé : 2,5 Mo sous Google Chrome, 5 Mo sous Firefox et Opera, et 10 Mo sous Internet Explorer. En théorie donc, il est impossible de saturer le disque dur par ces informations. Mais Feross Aboukhadijeh s’est posé la question suivante : et si l'on utilisait des sous-domaines, afin de faire croire que les informations en question proviennent de différents sites, plutôt que d’un seul ? Là encore, les navigateurs sont censés protéger les internautes en interdisant l’écriture de données issues d’un même domaine, peu importe le sous-domaine.
Le souci, c’est que tous les navigateurs n’ont pas encore intégré cette mesure. D’ailleurs, seul Firefox l’a fait. Pour tous les autres (Safari, Chrome, Opera et Internet Explorer), il est parfaitement possible de remplir le disque dur de l’internaute jusqu’à épuisement. Et l’auteur de cette découverte le prouve sur la page filldisk.com. Faites le test : en quelques minutes, votre disque dur doit arriver à saturation ou, dans le meilleur des cas, c’est le navigateur qui doit planter. Rassurez-vous : un bouton « Stop the madness » permet d’interrompre la procédure et de vider le disque de ces données récemment enregistrées.
Si le problème a été reporté auprès des éditeurs et qu'on peut s'attendre à une correction dans les prochaines versions des navigateurs concernés, on peut aussi imaginer que le bug risque d'être exploité d'ici là de manière plus agressive et invisible. En attendant, restez vos gardes, ne visitez pas de sites douteux ou tournez-vous tout simplement du côté de Firefox.