في مانع الإعلانات Adblock Plus
يمكن لمؤلفي القوائم التي تحتوي على مجموعات من المرشحات تنظيم تنفيذ التعليمات البرمجية الخاصة بهم في سياق المواقع التي يفتحها المستخدم عن طريق إضافة قواعد مع عامل التشغيل "
ومع ذلك، يمكن تحقيق تنفيذ التعليمات البرمجية في الحل البديل.
تستخدم بعض المواقع، بما في ذلك خرائط Google وGmail وصور Google، تقنية التحميل الديناميكي لكتل JavaScript القابلة للتنفيذ، والتي يتم نقلها في شكل نص مجرد. إذا كان الخادم يسمح بإعادة توجيه الطلب، فيمكن تحقيق إعادة التوجيه إلى مضيف آخر عن طريق تغيير معلمات URL (على سبيل المثال، في سياق Google، يمكن إجراء إعادة التوجيه من خلال واجهة برمجة التطبيقات "
تؤثر طريقة الهجوم المقترحة فقط على الصفحات التي تقوم بتحميل سلاسل تعليمات JavaScript البرمجية ديناميكيًا (على سبيل المثال، عبر XMLHttpRequest أو Fetch) ثم تنفذها. هناك قيد مهم آخر وهو الحاجة إلى استخدام إعادة التوجيه أو وضع بيانات عشوائية على جانب الخادم الأصلي الذي يصدر المورد. ومع ذلك، لتوضيح أهمية الهجوم، يتم توضيح كيفية تنظيم تنفيذ التعليمات البرمجية الخاصة بك عند فتح Maps.google.com، باستخدام إعادة التوجيه من خلال "google.com/search".
الإصلاح لا يزال قيد الإعداد. تؤثر المشكلة أيضًا على الحاصرات
يعتبر مطورو Adblock Plus أن الهجمات الحقيقية غير محتملة، حيث تتم مراجعة جميع التغييرات في قوائم القواعد القياسية، ومن النادر للغاية ربط قوائم الجهات الخارجية بين المستخدمين. يتم منع استبدال القواعد عبر MITM من خلال الاستخدام الافتراضي لـ HTTPS لتنزيل قوائم الحظر القياسية (بالنسبة للقوائم الأخرى، من المخطط حظر التنزيل عبر HTTP في إصدار مستقبلي). يمكن استخدام التوجيهات لمنع أي هجوم على جانب الموقع
المصدر: opennet.ru