Adblock Plusi reklaamiblokeerijas
Filtrite komplektidega loendite autorid saavad korraldada oma koodi täitmist kasutaja avatud saitide kontekstis, lisades reegleid operaatoriga "
Koodi täitmine on siiski saavutatav lahendusena.
Mõned saidid, sealhulgas Google Maps, Gmail ja Google Images, kasutavad käivitatavate JavaScripti plokkide dünaamilise laadimise tehnikat, mis edastatakse tühja tekstina. Kui server lubab päringu ümbersuunamist, siis saab URL-i parameetrite muutmisega saavutada suunamise teisele hostile (näiteks Google'i kontekstis saab ümbersuunamise teha API kaudu "
Pakutud ründemeetod mõjutab ainult lehti, mis laadivad dünaamiliselt JavaScripti koodi stringe (näiteks XMLHttpRequesti või Fetch kaudu) ja seejärel käivitavad. Teine oluline piirang on vajadus kasutada ümbersuunamist või paigutada suvalisi andmeid algse ressursi väljastanud serveri poolele. Rünnaku asjakohasuse demonstreerimiseks näidatakse aga, kuidas korraldada oma koodi täitmist saidi maps.google.com avamisel, kasutades ümbersuunamist läbi „google.com/search”.
Parandus on veel ettevalmistamisel. Probleem mõjutab ka blokaatoreid
Adblock Plusi arendajad peavad tõelisi rünnakuid ebatõenäoliseks, kuna kõik standardsete reeglite loendite muudatused vaadatakse üle ja kolmandate osapoolte loendite ühendamine on kasutajate seas äärmiselt haruldane. Reeglite asendamist MITM-i kaudu takistab vaikimisi HTTPS-i kasutamine standardsete blokiloendite allalaadimiseks (teiste loendite puhul on plaanis tulevases versioonis HTTP kaudu allalaadimine keelata). Direktiive saab kasutada saidipoolse rünnaku blokeerimiseks
Allikas: opennet.ru