Am Adblock Plus Ad Blocker
Auteure vu Lëschte mat Sätz vu Filter kënnen d'Ausféierung vun hirem Code am Kontext vun de Siten, déi vum Benotzer opgemaach ginn, organiséieren andeems Dir Regele mam Bedreiwer bäidréit "
Wéi och ëmmer, Code Ausféierung kann an enger Ëmgéigend erreecht ginn.
E puer Siten, dorënner Google Maps, Gmail a Google Biller, benotzen d'Technik fir dynamesch ausführbar JavaScript-Blocker ze lueden, iwwerdroen a Form vu blotem Text. Wann de Server d'Ufro Viruleedung erlaabt, da kann d'Forwarding op en aneren Host erreecht ginn andeems d'URL-Parameteren geännert ginn (zum Beispill am Kontext vu Google kann e Viruleedung duerch d'API gemaach ginn "
Déi proposéiert Attackmethod beaflosst nëmme Säiten déi dynamesch Strings vum JavaScript Code lueden (zum Beispill iwwer XMLHttpRequest oder Fetch) an se dann ausféieren. Eng aner wichteg Begrenzung ass d'Notzung fir e Viruleedung ze benotzen oder arbiträr Donnéeën op der Säit vum ursprénglechen Server ze setzen deen d'Ressource erausginn. Wéi och ëmmer, fir d'Relevanz vum Attack ze demonstréieren, gëtt gewisen wéi Dir d'Ausféierung vun Ärem Code organiséiert wann Dir maps.google.com opmaacht, andeems Dir e Viruleedung duerch "google.com/search" benotzt.
De Fix ass nach ëmmer an der Virbereedung. De Problem beaflosst och Blocker
Adblock Plus Entwéckler betruechten real Attacke als onwahrscheinlech, well all Ännerunge vun de Standardlëschte vu Reegelen iwwerpréift ginn, an d'Verbindung vun Drëtt Partei Lëschten ass extrem rar bei de Benotzer. Ersatz vu Regelen iwwer MITM gëtt verhënnert duerch d'Standardverbrauch vun HTTPS fir Standardblocklëschten erofzelueden (fir aner Lëschte ass et geplangt fir den Download iwwer HTTP an enger zukünfteg Verëffentlechung ze verbidden). Direktiven kënnen benotzt ginn fir en Attack op der Säit Säit ze blockéieren
Source: opennet.ru