In Adblock Plus ad blocker
L'autori di listi cù setti di filtri ponu urganizà l'esekzione di u so codice in u cuntestu di siti aperti da l'utilizatore aghjunghjendu regule cù l'operatore ".
Tuttavia, l'esekzione di codice pò esse ottenuta in una soluzione.
Certi siti, cumpresi Google Maps, Gmail è Google Images, utilizanu a tecnica di carica dinamicamente blocchi JavaScript eseguibili, trasmessi in forma di testu nudu. Se u servitore permette a redirezzione di a dumanda, allora l'invio à un altru òspite pò esse realizatu cambiendu i paràmetri di l'URL (per esempiu, in u cuntestu di Google, una redirezzione pò esse fatta attraversu l'API "
U metudu di attaccu prupostu solu affetta e pagine chì caricanu dinamicamente strings di codice JavaScript (per esempiu, via XMLHttpRequest o Fetch) è poi eseguite. Un'altra limitazione impurtante hè a necessità d'utilizà una redirezzione o postu dati arbitrarii à u latu di u servitore originale chì emette a risorsa. In ogni casu, per dimustrà a rilevanza di l'attaccu, hè mostratu cumu urganizà l'esekzione di u vostru codice quandu apre maps.google.com, utilizendu una redirezzione attraversu "google.com/search".
A correzione hè sempre in preparazione. U prublema afecta ancu i blockers
I sviluppatori di Adblock Plus cunsidereghjanu attacchi veri improbabili, postu chì tutti i cambiamenti à i listi standard di regule sò riveduti, è a cunnessione di listi di terzu hè estremamente raru trà l'utilizatori. A sustituzione di e regule via MITM hè impedita da l'usu predeterminatu di HTTPS per scaricà listi di blocchi standard (per altri listi hè previstu di pruibisce u scaricamentu via HTTP in una futura versione). I direttivi ponu esse aduprati per bluccà un attaccu à u latu di u situ
Source: opennet.ru