Il y a aussi des bréches dans HTML5

04/03/13 à 16:42 - Mise à jour à 16:42

Source: Datanews

Même s'il n'est pas encore un standard officiel, HTML5 est déjà sacrément mis sur la sellette. Et l'on y a déjà décelé des problèmes, comme la possibilité de remplir un disque dur à ras bord.

Il y a aussi des bréches dans HTML5

En développement depuis 2004 (avec 2014 comme date butoir pour une 'Recommandation par le W3C) comme successeur de HTML4.01 et de XHTML1.1, HTML5 a ces dernières années déjà été implémenté dans plusieurs navigateurs. Sur cette mini-liste, l'on trouve notamment Internet Explorer, Safari, Firefox, Chrome et Opera (pour ne citer que les plus connus), pour qu'ils puissent visiter les sites précoces avec du contenu HTML5. Manifestement, tous les éléments de HTML5 n'ont cependant pas été mis correctement en oeuvre dans ces navigateurs, comme l'a démontré le chercheur Feross Aboukhadijeh.

Filldisk

Aboukhadijeh a développé et publié un 'proof of concept', avec lequel il démontre l'implémentation imparfaite de la fonction 'localStorage' de HTML5 dans Internet Explorer, Safari et Chrome. 'localStorage permet au site visité de stocker plus d'informations sur le disque dur du visiteur que par exemple les 'cookies' (mouchards) de 4K d'autrefois. HTML5 ne prévoit ici aucune limite supérieure stricte en matière de stockage, mais un '5 MB per origin' est une recommandation arbitraire. Chrome, Safari (iOS et desktop) et Internet Explorer n'ont clairement pas prévu de limite supérieure, de sorte qu'avec l'aide de son code 'proof of concept', Aboukhadijeh a pu remplir à ras bord un disque dur à raison d'1 Go toutes les 16 secondes. Pour Firefox, le disque dur n'a pu être comblé, parce que localStorage a été implémenté d'une manière différente, alors qu'Opera demande au bout de 75 Mo une intervention de l'utilisateur pour libérer davantage d'espace de stockage.

A l'instar de toute technologie ICT, HTML5 connaît des problèmes tant dans sa propre implémentation que dans la création d'applications sur base de cette technologie. Chez OWASP (the Open Web Application Security Project, avec notamment un 'chapter' en Belgique), il est dès lors déjà possible de consulter une 'cheat sheet' sur 'la façon de créer des applications sûre avec HTML5'.

Des informations sur les applications HTML5 sûres gagneront toujours plus en importance, parce que ce standard permettra une harmonisation (plus que tardive) entre les sites. Il y a quelques années, Steve Jobs déclarait encore que des composants tes Flash n'avaient aucun avenir, alors que fin 2011, Adobe décida par exemple de ne plus développer 'Flash for mobile', mais de se concentrer sur des outils de développement pour HTML5. Fin 2011, 34 du 'top 100' des sites mondiaux (dont des moteurs de recherche et des sites de socialisation) utilisaient HTML5.

En savoir plus sur:

Nos partenaires