У блакавальніку рэкламы Adblock Plus
Аўтары спісаў з наборамі фільтраў могуць арганізаваць выкананне свайго кода ў кантэксце адчыняных карыстачом сайтаў праз даданне правіл з аператарам.
Тым не менш, выкананне кода можна дамагчыся абыходным шляхам.
Некаторыя сайты, у тым ліку Google Maps, Gmail і Google Images, ужываюць тэхніку дынамічнай загрузкі выкананых JavaScript-блокаў, якія перадаюцца ў форме голага тэксту. Калі сервер дапускае перанакіраванне запытаў, то пракіда на іншы хост можна дамагчыся падмяніўшы параметры URL (напрыклад, у кантэксце Google рэдырэкт можа быць зроблены праз API.
Прапанаваны метад нападу закранае толькі старонкі, якія дынамічна загружаюць радкі з JavaScript кодам (напрыклад, праз XMLHttpRequest або Fetch) і затым выконваюць іх. Іншым важным абмежаваннем з'яўляецца неабходнасць выкарыстання рэдырэкту або размяшчэнні адвольных дадзеных на боку зыходнага сервера, які аддае рэсурс. Тым не менш, у якасці дэманстрацыі актуальнасці нападу паказана як арганізаваць выкананне свайго кода пры адкрыцці maps.google.com, выкарыстоўваючы рэдырэкт праз "google.com/search".
Выпраўленне пакуль знаходзіцца ў працэсе падрыхтоўкі. Праблема таксама закранае блакавальнікі
Распрацоўнікі Adblock Plus лічаць правядзенне рэальных нападаў малаверагодным, бо ўсе змены ў штатных спісах правіл праходзяць рэцэнзаванне, а падлучэнне іншых спісаў практыкуецца карыстачамі вельмі рэдка. Падмену правіл праз MITM выключае ўжыванне па змаўчанні HTTPS для загрузкі штатных спісаў блакавання (для астатніх спісаў плануецца забараніць загрузку па HTTP у будучыні выпуску). Для блакавання атакі на баку сайтаў могуць прымяняцца дырэктывы.
Крыніца: opennet.ru