通常用户在透过网络浏览器浏览网页时,凡是链接进入需要输入用户信息的页面,都会以Cookies的形式储存于网络浏览器指定的位置存放。而这类的Cookies档案大小大多为5KB~10KB不等,但如果浏览的是以HTML5网络语言所设计的网页时,Cookies档案便会爆量放大至1000倍,让恶意软件有机会藉由此漏洞将用户计算机硬盘塞满垃圾数据。
|
HTML5爆出Cookies漏洞问题。(图/www.xflip.com) BigPic:628x424 |
而此次的HTML5 Cookies漏洞问题为美国Leland Stanford Junior University大学的一名开发者Feross Aboukhadijeh所发现,为了让各家浏览器公司重视此漏洞之严重性,该名开发者也公开展示黑客可能会针对此漏洞进行网络攻击活动的方式。
由于HTML5储存本机数据的形式,在不同网络浏览器上均有不同的储存方式,即便大多的网络浏览器都允许用户自行定义数据储存的空间上限,以及根据HTML5的规范,当在浏览并登录相同网域的网站时,就必须共享相同的Cookies数据,但Google Chrome、Apple Safari以及Microsoft IE等网络浏览器并没有遵守HTML5所定义的规则。
HTML5的Cookies漏洞问题,使得目前主流的网络浏览器(Apple Safari、Google Chrome、Microsoft IE、Opera Browser)均无一幸免,而Mozilla Firefox是唯一能够避开此漏洞的网络浏览器。Firefox之所以能够成功避开漏洞影响之原因为其储存数据的容量上限为5MB,以致于『巧妙 』阻断了Cookies垃圾数据的滋生。
目前使用因特网资源最频繁的设备已非个人计算机,而是行动装置设备,再加上,上述所列之网络浏览器皆有开发行动装置设备的对应版本,故HTML5的漏洞问题便更容易造成行动装置设备的内建储存空间被Cookies垃圾数据塞爆的可能性大为提高,进而使得行动装置设备无法正常开机。
所幸目前因该漏洞所造成的损害并未扩大,各大网络浏览器开发商也已开始着手针对此漏洞问题进行修复。不过也凸显了HTML5想要成为下一代网络语言的前提下,还是必须加强把关网络相关安全性问题。