Adblock Plus зар хориглогч дээр эмзэг байдал, Халдагчдын бэлтгэсэн баталгаажуулаагүй шүүлтүүрийг ашиглах тохиолдолд (жишээлбэл, гуравдагч этгээдийн багц дүрмийг холбох эсвэл MITM халдлагын үед дүрмийг солих замаар) сайтуудын контекст дээр JavaScript кодыг гүйцэтгэх ажлыг зохион байгуулах.
Шүүлтүүрийн багц бүхий жагсаалтын зохиогчид оператортой дүрэм нэмж оруулснаар хэрэглэгчийн нээсэн сайтуудын контекст дахь кодыг гүйцэтгэх ажлыг зохион байгуулж болно.", энэ нь URL-ийн хэсгийг солих боломжийг олгодог. Дахин бичих оператор нь таныг URL дахь хостыг солихыг зөвшөөрдөггүй, гэхдээ энэ нь хүсэлтийн аргументуудыг чөлөөтэй удирдах боломжийг танд олгоно. Зөвхөн текстийг солих маск болгон ашиглах боломжтой бөгөөд скрипт, объект болон дэд баримтын шошгыг орлуулахыг зөвшөөрдөг. .
Гэсэн хэдий ч кодын гүйцэтгэлийг тойрч гарах арга замаар хийж болно.
Зарим сайтууд, тухайлбал Google Maps, Gmail, Google Images нь нүцгэн текст хэлбэрээр дамжуулагдсан гүйцэтгэгдэх JavaScript блокуудыг динамикаар ачаалах техникийг ашигладаг. Хэрэв сервер хүсэлтийг дахин чиглүүлэхийг зөвшөөрвөл URL параметрүүдийг өөрчлөх замаар өөр хост руу дамжуулах боломжтой (жишээлбэл, Google-ийн контекст дээр API-ээр дамжуулан дахин чиглүүлэлт хийх боломжтой""). Дахин чиглүүлэхийг зөвшөөрдөг хостуудаас гадна хэрэглэгчийн агуулгыг (код байршуулах, нийтлэл байршуулах платформ гэх мэт) нийтлэхийг зөвшөөрдөг үйлчилгээнүүдийн эсрэг халдлага үйлдэж болно.
Санал болгож буй халдлагын арга нь зөвхөн JavaScript кодын (жишээ нь, XMLHttpRequest эсвэл Fetch-ээр) динамикаар ачаалж, дараа нь ажиллуулдаг хуудсуудад нөлөөлдөг. Өөр нэг чухал хязгаарлалт бол нөөцийг гаргаж буй анхны серверийн талд дахин чиглүүлэх эсвэл дурын өгөгдлийг байрлуулах хэрэгцээ юм. Гэсэн хэдий ч халдлагын хамаарлыг харуулахын тулд maps.google.com сайтыг нээхдээ "google.com/search"-ээр дамжуулан дахин чиглүүлэлт ашиглан өөрийн кодын гүйцэтгэлийг хэрхэн зохион байгуулахыг харуулсан.
Засвар одоог хүртэл бэлтгэгдэж байна. Асуудал нь хориглогчдод бас нөлөөлдөг и . uBlock Origin хориглогч нь "дахин бичих" операторыг дэмждэггүй тул асуудалд өртөөгүй. Нэгэн цагт uBlock Origin-ийн зохиогч
Аюулгүй байдлын боломжит асуудлууд болон хостын түвшний хязгаарлалт хангалтгүй байгаа тул дахин бичихэд дэмжлэг нэмэх (асуулгын параметрүүдийг солихын оронд цэвэрлэхийн тулд дахин бичихийн оронд querystrip сонголтыг санал болгосон).
Стандарт дүрмийн жагсаалтад гарсан бүх өөрчлөлтийг хянаж, гуравдагч этгээдийн жагсаалтыг холбох нь хэрэглэгчдийн дунд маш ховор байдаг тул Adblock Plus хөгжүүлэгчид бодит халдлага гарах магадлал багатай гэж үздэг. Стандарт блок жагсаалтыг татаж авахад HTTPS-г анхдагч ашигласнаар дүрмийг MITM-ээр солихоос сэргийлдэг (бусад жагсаалтын хувьд дараагийн хувилбарт HTTP-ээр татаж авахыг хориглохоор төлөвлөж байна). Сайтын тал руу чиглэсэн халдлагыг хаахын тулд удирдамжийг ашиглаж болно (Агуулгын аюулгүй байдлын бодлого), үүгээр дамжуулан та гадны эх сурвалжийг ачаалж болох хостуудыг тодорхой тодорхойлох боломжтой.
Эх сурвалж: opennet.ru