Sa Adblock Plus ad blocker kahuyang, pag-organisar sa pagpatuman sa JavaScript code sa konteksto sa mga site, sa kaso sa paggamit sa wala mapamatud-an nga mga pagsala nga giandam sa mga tig-atake (pananglitan, sa pagkonektar sa mga third-party nga set sa mga lagda o pinaagi sa pag-ilis sa mga lagda atol sa MITM attack).
Ang mga tagsulat sa mga lista nga adunay mga set sa mga pagsala mahimong mag-organisar sa pagpatuman sa ilang code sa konteksto sa mga site nga giablihan sa tiggamit pinaagi sa pagdugang mga lagda sa operator "", nga nagtugot kanimo sa pag-ilis sa bahin sa URL. Ang operator sa pagsulat pag-usab dili motugot kanimo sa pag-ilis sa host sa URL, apan kini nagtugot kanimo sa gawasnong pagmaniobra sa mga argumento sa hangyo. Ang teksto ra ang magamit ingon usa ka puli nga maskara, ug gitugutan ang pag-ilis sa script, butang ug mga tag sa subdocument .
Bisan pa, ang pagpatuman sa code mahimong makab-ot sa usa ka workaround.
Ang ubang mga site, lakip ang Google Maps, Gmail, ug Google Images, naggamit sa teknik sa dinamikong pagkarga sa mga executable nga JavaScript block, nga gipasa sa porma sa hubo nga teksto. Kung gitugotan sa server ang pag-redirect sa hangyo, ang pagpasa sa lain nga host mahimoβg makab-ot pinaagi sa pagbag-o sa mga parameter sa URL (pananglitan, sa konteksto sa Google, ang usa ka pag-redirect mahimo pinaagi sa API ""). Dugang sa mga host nga nagtugot sa redirection, ang usa ka pag-atake mahimo usab nga himuon batok sa mga serbisyo nga nagtugot sa pag-post sa sulud sa gumagamit (pag-host sa code, mga platform sa pag-post sa artikulo, ug uban pa).
Ang gisugyot nga pamaagi sa pag-atake makaapekto lamang sa mga panid nga dinamikong nagkarga sa mga string sa JavaScript code (pananglitan, pinaagi sa XMLHttpRequest o Fetch) ug dayon ipatuman kini. Ang laing importante nga limitasyon mao ang panginahanglan sa paggamit sa usa ka redirect o pagbutang sa arbitraryong data sa kilid sa orihinal nga server nga nag-isyu sa kapanguhaan. Bisan pa, aron ipakita ang kalabotan sa pag-atake, gipakita kung giunsa pag-organisar ang pagpatuman sa imong code sa pagbukas sa maps.google.com, gamit ang usa ka pag-redirect pinaagi sa "google.com/search".
Ang pag-ayo anaa pa sa pagpangandam. Ang problema makaapekto usab sa mga blocker ΠΈ . Ang uBlock Origin blocker wala maapektuhan sa problema, tungod kay wala kini nagsuporta sa "rewrite" operator. Sa usa ka higayon ang tagsulat sa uBlock Origin
pagdugang suporta alang sa pagsulat pag-usab, pagkutlo sa mga potensyal nga isyu sa seguridad ug dili igo nga mga pagdili sa lebel sa host (usa ka opsyon sa querystrip ang gisugyot imbis nga pagsulat pag-usab aron limpyohan ang mga parameter sa pangutana imbis nga ilisan kini).
Giisip sa mga developer sa Adblock Plus ang tinuod nga mga pag-atake nga dili mahimo, tungod kay ang tanan nga mga pagbag-o sa sumbanan nga mga lista sa mga lagda gisusi, ug ang pagkonektar sa mga lista sa ikatulo nga partido talagsa ra sa mga tiggamit. Ang pag-ilis sa mga lagda pinaagi sa MITM gipugngan sa default nga paggamit sa HTTPS alang sa pag-download sa standard block lists (alang sa ubang mga listahan giplanohan nga idili ang pag-download pinaagi sa HTTP sa umaabot nga pagpagawas). Ang mga direktiba mahimong magamit aron babagan ang usa ka pag-atake sa kilid sa site (Patakaran sa Seguridad sa Nilalaman), nga pinaagi niini mahimo nimong klaro nga mahibal-an ang mga host kung diin mahimong ma-load ang mga eksternal nga kapanguhaan.
Source: opennet.ru