Adblock Plus գովազդային արգելափակիչում
Զտիչներով ցուցակների հեղինակները կարող են կազմակերպել իրենց կոդի կատարումը օգտագործողի կողմից բացված կայքերի համատեքստում՝ ավելացնելով կանոններ օպերատորի հետ:
Այնուամենայնիվ, կոդի կատարումը կարող է իրականացվել լուծման ճանապարհով:
Որոշ կայքեր, այդ թվում՝ Google Maps-ը, Gmail-ը և Google Images-ը, օգտագործում են գործարկվող JavaScript բլոկների դինամիկ բեռնման տեխնիկան, որոնք փոխանցվում են մերկ տեքստի տեսքով: Եթե սերվերը թույլ է տալիս հարցումների վերահղում, ապա վերահասցեավորումն այլ հոսթին կարելի է հասնել՝ փոխելով URL-ի պարամետրերը (օրինակ, Google-ի համատեքստում վերահղումը կարող է կատարվել API-ի միջոցով »:
Առաջարկվող հարձակման մեթոդը ազդում է միայն այն էջերի վրա, որոնք դինամիկ կերպով բեռնում են JavaScript կոդի տողերը (օրինակ՝ XMLHttpRequest-ի կամ Fetch-ի միջոցով) և այնուհետև կատարում են դրանք։ Մեկ այլ կարևոր սահմանափակում է վերահղման օգտագործման կամ ռեսուրսը թողարկող սկզբնական սերվերի կողմում կամայական տվյալների տեղադրման անհրաժեշտությունը: Այնուամենայնիվ, հարձակման արդիականությունը ցույց տալու համար ցույց է տրվում, թե ինչպես կազմակերպել ձեր կոդի կատարումը maps.google.com-ը բացելիս՝ օգտագործելով «google.com/search» վերահղումը:
Ֆիքսումը դեռ պատրաստման փուլում է։ Խնդիրն ազդում է նաև արգելափակողների վրա
Adblock Plus-ի մշակողները իրական հարձակումները քիչ հավանական են համարում, քանի որ կանոնների ստանդարտ ցուցակների բոլոր փոփոխությունները վերանայվում են, իսկ երրորդ կողմի ցուցակները միացնելը չափազանց հազվադեպ է օգտվողների շրջանում: MITM-ի միջոցով կանոնների փոխարինումը կանխվում է HTTPS-ի լռելյայն օգտագործմամբ՝ ստանդարտ բլոկների ցուցակները ներբեռնելու համար (այլ ցուցակների համար նախատեսվում է արգելել ներբեռնումը HTTP-ի միջոցով ապագա թողարկումում): Հրահանգները կարող են օգտագործվել կայքի կողմից հարձակումը արգելափակելու համար
Source: opennet.ru