Adblock Plus жарнама блокаторунда аялуу, чабуулчулар тарабынан даярдалган текшерилбеген чыпкаларды колдонууда (мисалы, үчүнчү тараптын эрежелер топтомун туташтырууда же MITM чабуулу учурунда эрежелерди алмаштыруу аркылуу) сайттардын контекстинде JavaScript кодун аткарууну уюштуруу.
Чыпкалардын топтому бар тизмелердин авторлору оператор менен эрежелерди кошуу менен колдонуучу ачкан сайттардын контекстинде өз кодунун аткарылышын уюштура алышат.", бул URL'дин бир бөлүгүн алмаштырууга мүмкүндүк берет. Кайра жазуу оператору URL дарегинде хостту алмаштырууга уруксат бербейт, бирок ал суроо аргументтерин эркин башкарууга мүмкүндүк берет. Текст гана алмаштыруу маскасы катары колдонулушу мүмкүн жана скрипт, объект жана субдокумент тегдерин алмаштырууга уруксат берилет .
Бирок, коддун аткарылышына убактылуу чечүү менен жетишүүгө болот.
Кээ бир сайттар, анын ичинде Google Maps, Gmail жана Google Images, жылаңач текст түрүндө берилген, аткарылуучу JavaScript блокторун динамикалык жүктөө ыкмасын колдонушат. Эгерде сервер суроо-талапты кайра багыттоого уруксат берсе, анда башка хостко багыттоо URL параметрлерин өзгөртүү аркылуу ишке ашса болот (мисалы, Google контекстинде, API аркылуу кайра багыттоону жасоого болот ""). Багыттоо мүмкүнчүлүгүн берген хосттордон тышкары, колдонуучунун мазмунун (коддун хостинги, макалаларды жайгаштыруунун платформалары ж.б.) жайгаштырууга мүмкүндүк берүүчү кызматтарга чабуул жасалышы мүмкүн.
Сунушталган чабуул ыкмасы JavaScript кодунун саптарын динамикалык жүктөй турган (мисалы, XMLHttpRequest же Fetch аркылуу) жана андан кийин аларды аткарган барактарга гана таасирин тийгизет. Дагы бир маанилүү чектөө - бул ресурсту чыгарган түпнуска сервердин тарабына багыттоо же каалаган маалыматтарды жайгаштыруу зарылдыгы. Бирок, чабуулдун актуалдуулугун көрсөтүү үчүн maps.google.com сайтын ачууда “google.com/search” аркылуу багыттоо аркылуу кодуңуздун аткарылышын кантип уюштуруу керектиги көрсөтүлгөн.
Оңдоо дагы эле даярдалууда. Маселе блокаторлорго да таасирин тийгизет и . uBlock Origin блокаторуна көйгөй таасир этпейт, анткени ал "кайра жазуу" операторун колдобойт. Бир убакта uBlock Origin автору
потенциалдуу коопсуздук маселелерин жана хост деңгээлиндеги чектөөлөрдүн жетишсиздигин шылтоолоп, кайра жазууну колдоону кошуу (суроо параметрлерин алмаштыруунун ордуна тазалоо үчүн кайра жазуунун ордуна суроо тилкесинин варианты сунушталган).
Adblock Plus иштеп чыгуучулары чыныгы чабуулдарды күмөндүү деп эсептешет, анткени эрежелердин стандарттык тизмесине киргизилген бардык өзгөртүүлөр каралат жана үчүнчү тараптын тизмелерин туташтыруу колдонуучулар арасында өтө сейрек кездешет. Эрежелерди MITM аркылуу алмаштыруу стандарттык блок тизмелерин жүктөө үчүн HTTPS демейки колдонулушу менен алдын алат (башка тизмелер үчүн келечектеги чыгарылышта HTTP аркылуу жүктөөгө тыюу салуу пландаштырылууда). Директивалар сайт тарапта чабуулду бөгөт коюу үчүн колдонулушу мүмкүн (Мазмун коопсуздук саясаты), анын жардамы менен сиз тышкы ресурстарды жүктөй турган хостторду так аныктай аласыз.
Source: opennet.ru