በAdblock Plus ማስታወቂያ ማገጃ ውስጥ ተጋላጭነት ፣ በአጥቂዎች የተዘጋጁ ያልተረጋገጡ ማጣሪያዎችን ለመጠቀም (ለምሳሌ የሶስተኛ ወገን ደንቦችን ሲያገናኙ ወይም በ MITM ጥቃት ጊዜ ህጎችን በመተካት) የጃቫ ስክሪፕት ኮድ አፈፃፀምን በጣቢያዎች አውድ ውስጥ ያደራጁ።
የማጣሪያ ስብስቦች ያሏቸው ዝርዝሮች ደራሲዎች ከኦፕሬተሩ ጋር ህጎችን በመጨመር በተጠቃሚው በተከፈቱ ጣቢያዎች አውድ ውስጥ የኮዳቸውን አፈፃፀም ማደራጀት ይችላሉ"", ይህም የዩአርኤልውን ክፍል ለመተካት ያስችልዎታል. የድጋሚ መፃፍ ኦፕሬተር አስተናጋጁን በዩአርኤል ውስጥ እንዲተኩ አይፈቅድልዎትም ፣ ግን የጥያቄ ክርክሮችን በነፃነት እንዲቆጣጠሩ ይፈቅድልዎታል። ጽሁፍ ብቻ እንደ መተኪያ ጭንብል መጠቀም ይቻላል፣ እና ስክሪፕት ፣ነገር እና ንዑስ ሰነድ መለያዎችን መተካት ይፈቀዳል። .
ይሁን እንጂ የኮድ አፈፃፀም በሂደት ላይ ሊገኝ ይችላል.
ጎግል ካርታዎች፣ ጂሜይል እና ጎግል ምስሎችን ጨምሮ አንዳንድ ድረ-ገጾች በባዶ ጽሁፍ የሚተላለፉ የጃቫ ስክሪፕት ብሎኮችን በተለዋዋጭ የመጫን ዘዴን ይጠቀማሉ። አገልጋዩ የጥያቄ ማዘዋወርን ከፈቀደ ወደ ሌላ አስተናጋጅ ማስተላለፍ የዩአርኤል መለኪያዎችን በመቀየር ማግኘት ይቻላል (ለምሳሌ ፣ በ Google አውድ ውስጥ ፣ ማዘዋወር በኤፒአይ በኩል ሊከናወን ይችላል)") አቅጣጫ መቀየርን ከሚፈቅዱ አስተናጋጆች በተጨማሪ የተጠቃሚ ይዘትን ለመለጠፍ በሚፈቅዱ አገልግሎቶች ላይ (የኮድ ማስተናገጃ፣ የጽሁፍ መለጠፍ መድረኮች ወዘተ) ላይ ጥቃት ሊፈጸም ይችላል።
የታቀደው የጥቃት ዘዴ የጃቫ ስክሪፕት ኮድ ሕብረቁምፊዎችን (ለምሳሌ በXMLHttpRequest ወይም በማምጣት) የሚጫኑ ገጾችን ብቻ ነው የሚነካው እና ከዚያ ያስፈጽማሉ። ሌላው አስፈላጊ ገደብ ማዘዋወርን የመጠቀም ወይም የዘፈቀደ ውሂብን ሀብቱን በሚያወጣው ኦሪጅናል አገልጋይ በኩል የማስቀመጥ አስፈላጊነት ነው። ነገር ግን የጥቃቱን አስፈላጊነት ለማሳየት በ"google.com/search" በኩል ማዘዋወርን በመጠቀም maps.google.comን ሲከፍቱ የኮድዎን አፈጻጸም እንዴት እንደሚያደራጁ ይታያል።
ማስተካከያው አሁንም በዝግጅት ላይ ነው። ችግሩ አጋጆችንም ይነካል и . የ uBlock Origin ማገጃው የ"እንደገና መፃፍ" ኦፕሬተርን ስለማይደግፍ በችግሩ አይነካም። በአንድ ወቅት የ uBlock አመጣጥ ደራሲ
ሊሆኑ የሚችሉ የደህንነት ጉዳዮችን እና በቂ ያልሆነ የአስተናጋጅ ደረጃ ገደቦችን በመጥቀስ እንደገና ለመፃፍ ድጋፍን ይጨምሩ (የጥያቄ መለኪያዎችን ከመተካት ይልቅ ለማፅዳት እንደገና ከመፃፍ ይልቅ የመጠይቅ አማራጭ ቀርቧል)።
የAdblock Plus ገንቢዎች በደንቦች መደበኛ ዝርዝሮች ላይ የሚደረጉ ለውጦች ሁሉ ስለሚገመገሙ እና የሶስተኛ ወገን ዝርዝሮችን ማገናኘት በተጠቃሚዎች ዘንድ በጣም አልፎ አልፎ ስለሚከሰት እውነተኛ ጥቃቶች የማይቻሉ እንደሆኑ አድርገው ይቆጥሩታል። በ MITM በኩል ደንቦችን መተካት በ HTTPS መደበኛ የማገጃ ዝርዝሮችን ለማውረድ በነባሪነት የተከለከለ ነው (ለሌሎች ዝርዝሮች ወደፊት በሚለቀቅበት ጊዜ በኤችቲቲፒ ማውረድን ይከለክላል)። መመሪያዎች በጣቢያው በኩል ያለውን ጥቃት ለመከልከል ጥቅም ላይ ሊውሉ ይችላሉ (የይዘት ደህንነት ፖሊሲ)፣ በውጪ ምንጮች ሊጫኑ የሚችሉበትን አስተናጋጆች በግልፅ መወሰን ይችላሉ።
ምንጭ: opennet.ru