Yn Adblock Plus ad blocker
Auteurs fan listen mei sets fan filters kinne de útfiering fan har koade organisearje yn 'e kontekst fan siden iepene troch de brûker troch regels ta te foegjen mei de operator "
Koade útfiering kin lykwols wurde berikt yn in oplossing.
Guon siden, ynklusyf Google Maps, Gmail en Google Images, brûke de technyk fan dynamysk laden fan útfierbere JavaScript-blokken, oerdroegen yn 'e foarm fan bleate tekst. As de tsjinner trochferwizing fan fersyk tastiet, dan kin trochstjoeren nei in oare host wurde berikt troch de URL-parameters te feroarjen (bygelyks, yn 'e kontekst fan Google, kin in trochferwizing makke wurde fia de API "
De foarstelde oanfalmetoade hat allinich ynfloed op siden dy't stringen fan JavaScript-koade dynamysk laden (bygelyks fia XMLHttpRequest of Fetch) en se dan útfiere. In oare wichtige beheining is de needsaak om in trochferwizing te brûken of willekeurige gegevens te pleatsen oan 'e kant fan' e orizjinele tsjinner dy't de boarne útjout. Om lykwols de relevânsje fan 'e oanfal te demonstrearjen, wurdt it toand hoe't jo de útfiering fan jo koade organisearje by it iepenjen fan maps.google.com, mei in trochferwizing fia "google.com/search".
De fix is noch yn tarieding. It probleem hat ek ynfloed op blockers
Adblock Plus-ûntwikkelders beskôgje echte oanfallen as ûnwierskynlik, om't alle wizigingen oan 'e standertlisten mei regels wurde hifke, en it ferbinen fan listen fan tredden is ekstreem seldsum ûnder brûkers. Ferfanging fan regels fia MITM wurdt foarkommen troch it standertgebrûk fan HTTPS foar it ynladen fan standert bloklisten (foar oare listen is it pland om yn in takomstige útjefte download fia HTTP te ferbieden). Rjochtlinen kinne brûkt wurde om in oanfal op 'e side te blokkearjen
Boarne: opennet.ru