Yn Adblock Plus ad blocker
Gall awduron rhestrau gyda setiau o hidlwyr drefnu gweithrediad eu cod yng nghyd-destun gwefannau a agorwyd gan y defnyddiwr trwy ychwanegu rheolau gyda'r gweithredwr "
Fodd bynnag, gellir cyflawni cod wrth ateb.
Mae rhai gwefannau, gan gynnwys Google Maps, Gmail, a Google Images, yn defnyddio'r dechneg o lwytho blociau JavaScript gweithredadwy yn ddeinamig, a drosglwyddir ar ffurf testun noeth. Os yw'r gweinydd yn caniatáu ailgyfeirio ceisiadau, yna gellir anfon ymlaen i westeiwr arall trwy newid y paramedrau URL (er enghraifft, yng nghyd-destun Google, gellir ailgyfeirio trwy'r API"
Mae'r dull ymosod arfaethedig yn effeithio ar dudalennau sy'n llwytho llinynnau o god JavaScript yn ddeinamig (er enghraifft, trwy XMLHttpRequest neu Fetch) ac yna'n eu gweithredu. Cyfyngiad pwysig arall yw'r angen i ddefnyddio ailgyfeiriad neu osod data mympwyol ar ochr y gweinydd gwreiddiol sy'n rhoi'r adnodd. Fodd bynnag, i ddangos perthnasedd yr ymosodiad, dangosir sut i drefnu gweithrediad eich cod wrth agor maps.google.com, gan ddefnyddio ailgyfeiriad trwy “google.com/search”.
Mae'r atgyweiriad yn dal i gael ei baratoi. Mae'r broblem hefyd yn effeithio ar atalyddion
Mae datblygwyr Adblock Plus yn ystyried ymosodiadau go iawn yn annhebygol, gan fod pob newid i'r rhestrau safonol o reolau yn cael eu hadolygu, ac mae cysylltu rhestrau trydydd parti yn hynod o brin ymhlith defnyddwyr. Mae amnewid rheolau trwy MITM yn cael ei atal gan y defnydd diofyn o HTTPS ar gyfer lawrlwytho rhestrau bloc safonol (ar gyfer rhestrau eraill, bwriedir gwahardd lawrlwytho trwy HTTP mewn datganiad yn y dyfodol). Gellir defnyddio cyfarwyddebau i rwystro ymosodiad ar ochr y safle
Ffynhonnell: opennet.ru