Ing Adblock Plus ad blocker
Penulis dhaptar kanthi set saringan bisa ngatur eksekusi kode kasebut ing konteks situs sing dibukak pangguna kanthi nambah aturan karo operator "
Nanging, eksekusi kode bisa digayuh ing workaround.
Sawetara situs, kalebu Google Maps, Gmail, lan Gambar Google, nggunakake teknik ngemot blok JavaScript sing bisa dieksekusi kanthi dinamis, sing dikirim ing wangun teks kosong. Yen server ngidini panyuwunan pangalihan, banjur nerusake menyang host liyane bisa digayuh kanthi ngganti parameter URL (contone, ing konteks Google, pangalihan bisa ditindakake liwat API "
Cara serangan sing diusulake mung mengaruhi kaca sing ngemot senar kode JavaScript kanthi dinamis (contone, liwat XMLHttpRequest utawa Fetch) banjur nglakokake. Watesan penting liyane yaiku kudu nggunakake pangalihan utawa nyelehake data sewenang-wenang ing sisih server asli sing ngetokake sumber daya. Nanging, kanggo nduduhake relevansi serangan kasebut, ditampilake carane ngatur eksekusi kode nalika mbukak maps.google.com, nggunakake pangalihan liwat "google.com/search".
Perbaikan isih ana ing persiapan. Masalah kasebut uga mengaruhi pamblokiran
Pangembang Adblock Plus nganggep serangan nyata ora mungkin, amarga kabeh owah-owahan ing dhaptar standar aturan dideleng, lan nyambungake dhaptar pihak katelu arang banget ing antarane pangguna. Substitusi aturan liwat MITM dicegah kanthi nggunakake HTTPS standar kanggo ndownload dhaptar pemblokiran standar (kanggo dhaptar liyane direncanakake nglarang download liwat HTTP ing rilis mangsa ngarep). Directives bisa digunakake kanggo mblokir serangan ing sisih situs
Source: opennet.ru