Í Adblock Plus auglýsingablokkara varnarleysi, skipuleggja framkvæmd JavaScript kóða í samhengi við vefsvæði, ef um er að ræða óstaðfestar síur sem unnar eru af árásarmönnum (til dæmis þegar reglusett þriðja aðila er tengt eða með því að skipta út reglum meðan á MITM árás stendur).
Höfundar lista með síusettum geta skipulagt framkvæmd kóðans í samhengi við síður sem notandinn hefur opnað með því að bæta reglum við rekstraraðila "", sem gerir þér kleift að skipta út hluta af vefslóðinni. Endurskrifa stjórnandinn leyfir þér ekki að skipta um hýsilinn í vefslóðinni, en hann gerir þér kleift að vinna frjálslega með beiðnirökin. Aðeins er hægt að nota texta sem uppbótargrímu og leyfð er að skipta um forskrift, hlut og undirskjalamerki .
Hins vegar er hægt að ná fram keyrslu kóða með lausn.
Sumar síður, þar á meðal Google Maps, Gmail og Google Images, nota tæknina við að hlaða keyrsluhæfum JavaScript-blokkum á virkan hátt, sendar í formi beins texta. Ef þjónninn leyfir framsendingu beiðni, þá er hægt að framsenda til annars gestgjafa með því að breyta vefslóð breytum (til dæmis, í samhengi við Google, er hægt að beina áfram í gegnum API ""). Til viðbótar við hýsingar sem leyfa tilvísun, er einnig hægt að gera árás gegn þjónustu sem gerir kleift að birta notendaefni (kóðahýsing, greinapóstkerfi osfrv.).
Fyrirhuguð árásaraðferð hefur aðeins áhrif á síður sem hlaða strengi af JavaScript kóða á virkan hátt (til dæmis með XMLHttpRequest eða Fetch) og framkvæma þær síðan. Önnur mikilvæg takmörkun er þörfin á að nota tilvísun eða setja handahófskennd gögn á hlið upprunalega netþjónsins sem gefur út auðlindina. Hins vegar, til að sýna fram á mikilvægi árásarinnar, er sýnt hvernig á að skipuleggja framkvæmd kóðans þíns þegar þú opnar maps.google.com, með því að nota tilvísun í gegnum „google.com/search“.
Lagfæringin er enn í undirbúningi. Vandamálið hefur einnig áhrif á blokkara и . Vandamálið hefur ekki áhrif á uBlock Origin blokkarann þar sem hann styður ekki „endurskrifa“ rekstraraðilann. Á sínum tíma höfundur uBlock Origin
bæta við stuðningi við endurskrifun, með því að vitna í hugsanleg öryggisvandamál og ófullnægjandi takmarkanir á hýsingarstigi (querystrip valkostur var lagður til í stað endurskrifa til að hreinsa upp fyrirspurnarfæribreytur í stað þess að skipta um þær).
Adblock Plus forritarar telja raunverulegar árásir ólíklegar, þar sem allar breytingar á stöðluðum reglulistum eru skoðaðar og tenging við þriðja aðila lista er afar sjaldgæf meðal notenda. Komið er í veg fyrir að reglum sé skipt út í gegnum MITM vegna sjálfgefna notkunar á HTTPS til að hlaða niður stöðluðum blokkalistum (fyrir aðra lista er fyrirhugað að banna niðurhal í gegnum HTTP í framtíðarútgáfu). Hægt er að nota tilskipanir til að hindra árás á síðuhliðina (Content Security Policy), þar sem þú getur beinlínis ákveðið frá hvaða vélum er hægt að hlaða ytri auðlindir.
Heimild: opennet.ru