U Adblock Plus blokatoru oglasa
Autori popisa sa skupovima filtara mogu organizirati izvršavanje svog koda u kontekstu stranica koje otvara korisnik dodavanjem pravila s operatorom "
Međutim, izvršenje koda može se postići zaobilaznim rješenjem.
Neka mjesta, uključujući Google karte, Gmail i Google slike, koriste tehniku dinamičkog učitavanja izvršnih JavaScript blokova, koji se prenose u obliku golog teksta. Ako poslužitelj dopušta preusmjeravanje zahtjeva, prosljeđivanje na drugi host može se postići promjenom parametara URL-a (na primjer, u kontekstu Googlea, preusmjeravanje se može izvršiti putem API-ja "
Predložena metoda napada utječe samo na stranice koje dinamički učitavaju nizove JavaScript koda (na primjer, putem XMLHttpRequest ili Fetch) i zatim ih izvršavaju. Još jedno važno ograničenje je potreba korištenja preusmjeravanja ili postavljanja proizvoljnih podataka na stranu izvornog poslužitelja koji izdaje resurs. Međutim, kako bi se demonstrirala relevantnost napada, prikazano je kako organizirati izvršavanje vašeg koda prilikom otvaranja maps.google.com, koristeći preusmjeravanje preko “google.com/search”.
Popravak je još u pripremi. Problem također utječe na blokatore
Programeri Adblock Plusa smatraju da su pravi napadi malo vjerojatni, budući da se sve promjene standardnih popisa pravila pregledavaju, a povezivanje popisa trećih strana iznimno je rijetko među korisnicima. Zamjena pravila putem MITM-a spriječena je zadanom upotrebom HTTPS-a za preuzimanje standardnih popisa blokiranih (za ostale popise planira se zabraniti preuzimanje putem HTTP-a u budućem izdanju). Naredbe se mogu koristiti za blokiranje napada na strani stranice
Izvor: opennet.ru