Adblock Plus -mainosten estäjässä
Suodatinsarjoja sisältävien luetteloiden tekijät voivat järjestää koodinsa suorittamisen käyttäjän avaamien sivustojen yhteydessä lisäämällä sääntöjä operaattorilla "
Koodin suorittaminen voidaan kuitenkin saavuttaa kiertotavan avulla.
Jotkut sivustot, kuten Google Maps, Gmail ja Google Images, käyttävät tekniikkaa, jolla ladataan dynaamisesti suoritettavia JavaScript-lohkoja, jotka lähetetään paljaana tekstinä. Jos palvelin sallii pyynnön uudelleenohjauksen, niin edelleenlähetys toiselle isännälle voidaan saavuttaa muuttamalla URL-parametreja (esim. Googlen kontekstissa uudelleenohjaus voidaan tehdä API:n kautta "
Ehdotettu hyökkäysmenetelmä vaikuttaa vain sivuihin, jotka lataavat dynaamisesti JavaScript-koodin merkkijonoja (esimerkiksi XMLHttpRequestin tai Fetchin kautta) ja suorittavat ne sitten. Toinen tärkeä rajoitus on tarve käyttää uudelleenohjausta tai sijoittaa mielivaltaisia tietoja resurssin alkuperäisen palvelimen puolelle. Hyökkäyksen merkityksen osoittamiseksi näytetään kuitenkin, kuinka koodin suorittaminen järjestetään avattaessa maps.google.com käyttämällä uudelleenohjausta "google.com/search" kautta.
Korjaus on vielä valmisteilla. Ongelma koskee myös estoaineita
Adblock Plus -kehittäjät pitävät todellisia hyökkäyksiä epätodennäköisinä, koska kaikki standardisääntöluetteloiden muutokset tarkistetaan, ja kolmansien osapuolien luetteloiden yhdistäminen on erittäin harvinaista käyttäjien keskuudessa. Sääntöjen korvaaminen MITM:n kautta on estetty HTTPS:n oletuskäytöllä standardien estoluetteloiden lataamiseen (muille listoille on tarkoitus kieltää lataaminen HTTP:n kautta tulevassa julkaisussa). Ohjeita voidaan käyttää estämään hyökkäys sivuston puolella
Lähde: opennet.ru