Adblock Plus зар хориглогч дээр
Шүүлтүүрийн багц бүхий жагсаалтын зохиогчид оператортой дүрэм нэмж оруулснаар хэрэглэгчийн нээсэн сайтуудын контекст дахь кодыг гүйцэтгэх ажлыг зохион байгуулж болно.
Гэсэн хэдий ч кодын гүйцэтгэлийг тойрч гарах арга замаар хийж болно.
Зарим сайтууд, тухайлбал Google Maps, Gmail, Google Images нь нүцгэн текст хэлбэрээр дамжуулагдсан гүйцэтгэгдэх JavaScript блокуудыг динамикаар ачаалах техникийг ашигладаг. Хэрэв сервер хүсэлтийг дахин чиглүүлэхийг зөвшөөрвөл URL параметрүүдийг өөрчлөх замаар өөр хост руу дамжуулах боломжтой (жишээлбэл, Google-ийн контекст дээр API-ээр дамжуулан дахин чиглүүлэлт хийх боломжтой"
Санал болгож буй халдлагын арга нь зөвхөн JavaScript кодын (жишээ нь, XMLHttpRequest эсвэл Fetch-ээр) динамикаар ачаалж, дараа нь ажиллуулдаг хуудсуудад нөлөөлдөг. Өөр нэг чухал хязгаарлалт бол нөөцийг гаргаж буй анхны серверийн талд дахин чиглүүлэх эсвэл дурын өгөгдлийг байрлуулах хэрэгцээ юм. Гэсэн хэдий ч халдлагын хамаарлыг харуулахын тулд maps.google.com сайтыг нээхдээ "google.com/search"-ээр дамжуулан дахин чиглүүлэлт ашиглан өөрийн кодын гүйцэтгэлийг хэрхэн зохион байгуулахыг харуулсан.
Засвар одоог хүртэл бэлтгэгдэж байна. Асуудал нь хориглогчдод бас нөлөөлдөг
Стандарт дүрмийн жагсаалтад гарсан бүх өөрчлөлтийг хянаж, гуравдагч этгээдийн жагсаалтыг холбох нь хэрэглэгчдийн дунд маш ховор байдаг тул Adblock Plus хөгжүүлэгчид бодит халдлага гарах магадлал багатай гэж үздэг. Стандарт блок жагсаалтыг татаж авахад HTTPS-г анхдагч ашигласнаар дүрмийг MITM-ээр солихоос сэргийлдэг (бусад жагсаалтын хувьд дараагийн хувилбарт HTTP-ээр татаж авахыг хориглохоор төлөвлөж байна). Сайтын тал руу чиглэсэн халдлагыг хаахын тулд удирдамжийг ашиглаж болно
Эх сурвалж: opennet.ru