Неполное следование рекомендациям HTML5 WebStorage может привести к заполнению пользовательского диска

01.03.2013 01:36

Спецификация HTML5 Web Storage была разработана для предоставления сайтам возможности хранения данных web-приложений на локальных системах пользователя. При этом рекомендуемый объём хранилища составляет 5 мегабайт, так же рекомендовано ограничивать размер хранилища для всего домена, т.е. применять общий лимит и для поддоменов. Реализованные в браузерах лимиты выглядят следующим образом: 2,5 Мб в Google Chrome, 5 МБ в Mozilla Firefox и Opera, 10 Мб в Internet Explorer.

Студент Стэнфордского университета Feross Aboukhadije проверил, как в реальности браузеры следуют рекомендациям. Оказалось Chrome, Safari и IE не накладывают жестких ограничений для поддоменов и специально оформленный сайт может занять всё дисковое пространство. Подготовленное тестовое web-приложение способно заполнять диск с интенсивностью примерно 1 Гб в 16 секунд. Реализация Localstorage в Firefox по словам Feross "оказалась умнее". В Opera вопрос расширения размера localstorage оставлен на откуп пользователю.

исправить +17 +/–

Главная ссылка к новости (http://feross.org/fill-disk/...)

Автор новости: Клыкастый

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/36259-web

Ключевые слова: web, api, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (-), 12:24, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]	+/–
И что делать, если у кого-то Chrome или Opera?

Часть нити удалена модератором

3.6, Клыкастый (ok), 13:00, 01/03/2013 [ответить]	+/–
Если забивать на рекомендации, проблем можно отхватить и под html4.

3.7, wasntme (?), 13:07, 01/03/2013 [ответить]	–3 +/–
даже не знаю, что глупее в этой ситуации, евангелисты стандартов или ругатели стандартов в лице кривых раелизаций. и те и другие — недалёкие люди (хотя первые могут просто за деньги работать)

2.3, Аноним (-), 12:40, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
opera-next. На демо-сайте написано "занято 74 МБ", а опера спрашивает, мол, сайт занял больше 5 МБ и просит увеличить лимит до 10 МБ. Разрешить?

3.4, Аноним (-), 12:46, 01/03/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Не знаю. :)

4.18, Anonymous528 (?), 17:34, 01/03/2013 [^] [^^] [^^^] [ответить]	+1 +/–
Разрешай

5.20, Аноним (-), 18:16, 01/03/2013 [^] [^^] [^^^] [ответить]	–2 +/–
Ладно. Разрешаю. :)

2.8, anonymous (??), 14:11, 01/03/2013 [^] [^^] [^^^] [ответить]	+1 +/–
> И что делать, если у кого-то Chrome или Opera? Проприетарщики должны страдать.

3.9, Аноним (-), 14:24, 01/03/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Думаете, в Chromium как-то по другому?

4.15, Аноним (-), 15:56, 01/03/2013 [^] [^^] [^^^] [ответить]	+2 +/–
Разумеется. Исходники в руки и вперёд.

2.12, Аноним (-), 14:36, 01/03/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Написано же что в Opera нет этой проблемы.

1.5, Eddhie (ok), 12:53, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
При JavaScript-е такого не было :)

2.10, Аноным (ok), 14:32, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
При куках может?)

3.23, Stax (ok), 19:46, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
Фиг там, стандартное ограничение на длину одного кука + общее ограничение на число куков всеми популярными браузерами соблюдается строго.

1.11, Аноним (-), 14:35, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
> Реализация Localstorage в Firefox по словам Feross "оказалась умнее". умнее среднестатистического пользователя интернета? в опере всё правильно сделали.

2.13, Xasd (ok), 15:35, 01/03/2013 [^] [^^] [^^^] [ответить]

+1 +/–

>> Реализация Localstorage в Firefox по словам Feross "оказалась умнее".
> умнее среднестатистического пользователя интернета? в опере всё правильно сделали.

нет ничего правильного в том чтобы спашивать пользователя вопросы, ответ на который написан в дебрях технической спецификации по HTML5.

если пользователь читал соответствующую спецификацию HTML5 и этого пользователя спросили мол что браузер занял уже 10 мегобайт -- то ясное дело что правельный ответ это "нет" (не выдавать места ещё больше).

а если пользователь НЕ читал соответствующую спецификацию, то в Опере есть разве вариант ответа "не знаю"? :)

3.16, Аноним (-), 16:31, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
> нет ничего правильного в том чтобы спашивать пользователя вопросы, ответ на который написан в дебрях технической спецификации по HTML5. в дебрях спецификации указан лишь рекоммендованный размер. если сайту вдруг понадобилось больше, заставлять пользователя лезть вглубь настроек браузера чтобы менять неведомые квоты - куда больший бред, чем просто спросить разрешения у пользователя на месте. и пользователь должен предварительно упороться, чтобы по такому запросу выделить сайту абсурдно большое пространство на диске.

4.19, XoRe (ok), 18:13, 01/03/2013 [^] [^^] [^^^] [ответить]	+2 +/–
>> нет ничего правильного в том чтобы спашивать пользователя вопросы, ответ на который написан в дебрях технической спецификации по HTML5. > в дебрях спецификации указан лишь рекоммендованный размер. А ещё в дебрях спецификации указано, что это вообще такое. Представляете, если операционка выдаст вам сообщение "Semaphore Arrays fill system quota", или "Shared Memory Segments too fragmented. Do you want to defragment?". Ткнут "да", не разбираясь, и все.

5.29, arisu (ok), 19:37, 05/03/2013 [^] [^^] [^^^] [ответить]	+/–
> Ткнут "да", не разбираясь, и все. идиоты должны страдать.

3.17, Клыкастый (ok), 16:55, 01/03/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Ответа там нет. Есть указание, что такая ситуация возможна, и её не следует допускать. И Опера и Лисица решили правильно - каждый по-своему. Не нравится подход Оперы - не используй Оперу.

4.25, Xasd (ok), 19:51, 01/03/2013 [^] [^^] [^^^] [ответить]

+1 +/–

> Не нравится подход Оперы - не используй Оперу.

верно -- такой подход Оперы мне не нравится, и я не буду её использовать.

но вот вопрос -- как мне сделать так чтобы и другие люди тоже не использовали Оперу? :)

чтобы не получилась так что если вдруг Опера захватит популярность, то подход к исковеркованию стандартов заставит и остальных людей насильно перехдить на Оперу.

5.26, Crazy Alex (ok), 20:28, 01/03/2013 [^] [^^] [^^^] [ответить]	–1 +/–
А мне вот именно такой подход нравится. Потому что сайты разными бывают. Бывают даже самописные морды, которым я вполне готов вообще лимит снять.

1.14, Xasd (ok), 15:36, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
кому какие коты нравятся больше? :) https://github.com/feross/filldisk.js/tree/master/static/cats

2.21, XoRe (ok), 18:22, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
> кому какие коты нравятся больше? :) > https://github.com/feross/filldisk.js/tree/master/static/cats Коты заполоняют компьютер!

1.22, Аноним (-), 18:39, 01/03/2013 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
бугага. делают из броузера ос и получают то что другие ос проходили давным давно. потом пойдут куча форкбомб, вирусы мориса, антивирус на джаваскриптах, контейнеры на вебне и как вершина всего этого - виртуализация на хтмл6.0.

2.24, Аноним (-), 19:46, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
Ну, прямо IT-постапокалипсис нарисовали :)

3.27, Аноним (-), 21:37, 01/03/2013 [^] [^^] [^^^] [ответить]	–1 +/–
Да какой апокалипсис. История повторяется - теперь в виде фарса. Всё что было сделано до этого(ос, по) повторяют в броузере.

2.28, Аноним (-), 21:55, 01/03/2013 [^] [^^] [^^^] [ответить]	+/–
>потом пойдут ... виртуализация на хтмл поздно. уже пришло http://bellard.org/jslinux/index.html

игнорирование участников | лог модерирования

Добавить комментарий

Текст: