מפתח אינטרנט הוכיח ניצול פשוט לביצוע המאפשר לאתרים להפציץ בחשאי את התקני האחסון של מבקרים בג'יגה-בייט של נתונים זבל.
כפי שהשם שלו מרמז, FillDisk.com טוען כמות כמעט בלתי מוגבלת של נתונים על כוננים קשיחים של אנשים שניגשים לאתר. זה לא דורש אינטראקציה של משתמש ועובד עם הדפדפנים Google Chrome, Microsoft Internet Explorer ו-Apple Safari. הוא מוסיף 1GB של נתונים כל 16 שניות ב-MacBook Pro Retina המצויד בכונן מוצק, על פי Feross Abukhadijeh, מפתח האינטרנט וסטודנט לתואר שני במדעי המחשב שיצר את הוכחת הרעיון אֲתַר.
FillDisk.com עושה מניפולציות על תקן אחסון אינטרנט כלול במפרט HTML5. תקן זה נועד להקל על השימוש באתרים בכך שהוא מאפשר להם לאחסן נתונים על הכוננים הקשיחים של המבקרים. הפונקציונליות יכולה להיות שימושית כאשר משתמשי קצה ממלאים טפסים ארוכים; אם הדפדפן קורס לפני מילוי הטופס, הנתונים שכבר הוזנו יהיו זמינים כאשר האדם יבקר באתר מאוחר יותר. יוצרי התקן מזהירים במפורש שמפתחי דפדפן צריכים לנקוט בצעדים כדי להבטיח שאתרים לא יוכלו לעשות שימוש לרעה בתכונה על ידי כתיבת כמויות בלתי מוגבלות של נתונים.
אכן, Chrome, IE ו-Safari מגבילים את כמות הנתונים שניתן להוריד, אך ההגבלה מונחת על תת-דומיינים ולא על הדומיין ברמה העליונה שאליו הם שייכים. FillDisk.com פועל על ידי הפניית תת-דומיינים כגון 1.filldisk.com, 2.filldisk.com וכן הלאה לכל שליחה את הכמות המקסימלית המותרת. מבין הדפדפנים שאבוקהדיג'ה בדק, רק Mozilla Firefox הגביל את כמות ההורדות. הניצול פשוט ליישום. פרטים נוספים הם כאן וקוד המקור הוא כאן.
כדי להיות הוגן כלפי מפתחי הדפדפנים המושפעים, נראה שהניצול אינו חושף נתונים פרטיים או מאפשר ביצוע מרחוק של קוד זדוני. בהשוואה לנקודות תורפה רבות, החולשה שניצלה לרעה על ידי FillDisk.com נראית מינורית. ובכל זאת, לא קשה לדמיין מישהו שולח בדואר אלקטרוני קישורים זדוניים למספר רב של אנשים רק כדי לעלות. בנוסף למילוי הכוננים הקשיחים של המקלטים בנתונים, הניצול עלול לגרום לגרסאות מסוימות של Chrome לקרוס.
מפתחי כרום מגיב לדוח הבאג של אבוקהדיג'ה נראה היה שהסכימו שההתנהגות אינה אידיאלית. "יש המלצת SHOULD במפרט ה-HTML המציע ש-UAs ישמרו מפני התנהגות זו", כתב אחד. "נראה שפיירפוקס מיישם את זה, אנחנו לא."
