Adblock Plus iragarkien blokeatzailean ahultasuna, JavaScript kodearen exekuzioa guneen testuinguruan antolatu, erasotzaileek prestatutako egiaztatu gabeko iragazkiak erabiltzen badira (adibidez, hirugarrenen arau multzoak konektatzean edo MITM eraso batean arauak ordezkatuz).
Iragazki multzoak dituzten zerrenden egileek beren kodearen exekuzioa antola dezakete erabiltzaileak irekitako guneen testuinguruan, operadorearekin arauak gehituz "", URLaren zati bat ordezkatzeko aukera ematen duena. Berridazketa operadoreak ez dizu ostalaria URLan ordezkatzen uzten, baina eskaeraren argumentuak askatasunez manipulatzeko aukera ematen du. Testua soilik erabil daiteke ordezko maskara gisa, eta script, objektu eta azpidokumentuen etiketen ordezkapena onartzen da .
Hala ere, kodearen exekuzioa konponbide batean lor daiteke.
Zenbait gune, Google Maps, Gmail eta Google Images barne, JavaScript bloke exekutagarriak dinamikoki kargatzeko teknika erabiltzen dute, testu huts moduan transmitituta. Zerbitzariak eskaerak birbideratzeko aukera ematen badu, beste ostalari batera birbidaltzea lor daiteke URL parametroak aldatuz (adibidez, Google-ren testuinguruan, APIaren bidez birbideratzea egin daiteke ""). Birbideratzea ahalbidetzen duten ostalariez gain, erabiltzaileen edukiak argitaratzea ahalbidetzen duten zerbitzuen aurka ere eraso bat egin daiteke (kode-ostatua, artikuluak bidaltzeko plataformak, etab.).
Proposatutako eraso-metodoak JavaScript kodearen kateak dinamikoki kargatu eta gero exekutatzen dituzten orriei soilik eragiten die (adibidez, XMLHttpRequest edo Fetch bidez). Beste muga garrantzitsu bat baliabidea jaulkitzen duen jatorrizko zerbitzariaren aldean birbideratzeko edo datu arbitrarioak jartzeko beharra da. Hala ere, erasoaren garrantzia erakusteko, maps.google.com irekitzean zure kodearen exekuzioa nola antolatu erakusten da, "google.com/search" bidezko birbideraketa erabiliz.
Konponketa prestatzen ari da oraindik. Arazoak blokeatzaileei ere eragiten die ΠΈ . uBlock Origin blokeatzaileak ez du arazoaren eraginik, ez baitu "berridazketa" operadorea onartzen. Garai batean uBlock Origin-en egilea
gehitu berridazketarako euskarria, balizko segurtasun-arazoak eta ostalari-mailako murrizketa nahikoak aipatuz (kontsulta-zerrenda aukera bat proposatu zen berridatzi beharrean, kontsulta-parametroak garbitzeko haiek ordezkatu beharrean).
Adblock Plus-eko garatzaileek benetako erasoak nekez ikusten dituzte, arau-zerrenda estandarretan egindako aldaketa guztiak berrikusten baitira eta hirugarrenen zerrendak konektatzea oso arraroa baita erabiltzaileen artean. MITM bidez arauak ordezkatzea eragozten da HTTPS blokeo-zerrenda estandarrak deskargatzeko lehenetsitako erabilerak (beste zerrendetarako HTTP bidez deskargatzea debekatzea aurreikusi da etorkizuneko bertsio batean). Zuzentarauak gunearen aldeko eraso bat blokeatzeko erabil daitezke (Edukien Segurtasun Politika), zeinaren bidez esplizituki zehaztu dezakezu kanpoko baliabideak kargatu daitezkeen ostalariak.
Iturria: opennet.ru