Di pemblokir iklan Adblock Plus
Penulis daftar dengan kumpulan filter dapat mengatur eksekusi kodenya dalam konteks situs yang dibuka oleh pengguna dengan menambahkan aturan dengan operator "
Namun, eksekusi kode dapat dicapai sebagai solusi.
Beberapa situs, termasuk Google Maps, Gmail, dan Google Images, menggunakan teknik memuat blok JavaScript yang dapat dieksekusi secara dinamis, yang dikirimkan dalam bentuk teks biasa. Jika server mengizinkan pengalihan permintaan, penerusan ke host lain dapat dilakukan dengan mengubah parameter URL (misalnya, dalam konteks Google, pengalihan dapat dilakukan melalui API "
Metode serangan yang diusulkan hanya memengaruhi halaman yang memuat string kode JavaScript secara dinamis (misalnya, melalui XMLHttpRequest atau Fetch) dan kemudian mengeksekusinya. Batasan penting lainnya adalah kebutuhan untuk menggunakan pengalihan atau menempatkan data sewenang-wenang di sisi server asli yang mengeluarkan sumber daya. Namun, untuk menunjukkan relevansi serangan tersebut, ditunjukkan cara mengatur eksekusi kode Anda saat membuka map.google.com, menggunakan pengalihan melalui βgoogle.com/searchβ.
Perbaikannya masih dalam persiapan. Masalahnya juga mempengaruhi pemblokir
Pengembang Adblock Plus menganggap serangan nyata tidak mungkin terjadi, karena semua perubahan pada daftar aturan standar ditinjau, dan menghubungkan daftar pihak ketiga sangat jarang terjadi di kalangan pengguna. Pergantian aturan melalui MITM dicegah dengan penggunaan default HTTPS untuk mengunduh daftar blokir standar (untuk daftar lain direncanakan untuk melarang pengunduhan melalui HTTP di rilis mendatang). Arahan dapat digunakan untuk memblokir serangan di sisi situs
Sumber: opennet.ru