„Adblock Plus“ skelbimų blokavimo priemonėje
Sąrašų su filtrų rinkiniais autoriai gali organizuoti savo kodo vykdymą vartotojo atidarytų svetainių kontekste, pridėdami taisykles su operatoriumi "
Tačiau kodo vykdymas gali būti pasiektas problemos sprendimo būdu.
Kai kuriose svetainėse, įskaitant „Google“ žemėlapius, „Gmail“ ir „Google“ vaizdus, naudojama dinamiškai įkeliamų vykdomųjų „JavaScript“ blokų, perduodamų pliko teksto forma, technika. Jei serveris leidžia peradresuoti užklausą, peradresavimas į kitą pagrindinį kompiuterį gali būti pasiektas pakeitus URL parametrus (pavyzdžiui, Google kontekste peradresavimas gali būti atliktas per API "
Siūlomas atakos metodas veikia tik puslapius, kurie dinamiškai įkelia JavaScript kodo eilutes (pavyzdžiui, per XMLHttpRequest arba Fetch) ir tada jas vykdo. Kitas svarbus apribojimas yra būtinybė naudoti peradresavimą arba pateikti savavališkus duomenis pirminio serverio, išduodančio išteklius, pusėje. Tačiau norint parodyti atakos aktualumą, parodyta, kaip organizuoti kodo vykdymą atidarant maps.google.com naudojant peradresavimą per „google.com/search“.
Pataisymas vis dar ruošiamas. Problema taip pat turi įtakos blokatoriams
„Adblock Plus“ kūrėjai mano, kad tikros atakos yra mažai tikėtinos, nes peržiūrimi visi standartinių taisyklių sąrašų pakeitimai, o trečiųjų šalių sąrašų prijungimas tarp vartotojų yra labai retas. Taisyklių pakeitimo per MITM neleidžia standartinių blokų sąrašų atsisiuntimui numatytasis HTTPS naudojimas (kitiems sąrašams planuojama uždrausti siuntimą per HTTP būsimoje laidoje). Nurodymai gali būti naudojami blokuoti ataką svetainės pusėje
Šaltinis: opennet.ru