Fl-ad blocker Adblock Plus
Awturi ta 'listi b'settijiet ta' filtri jistgħu jorganizzaw l-eżekuzzjoni tal-kodiċi tagħhom fil-kuntest ta 'siti miftuħa mill-utent billi jżidu regoli mal-operatur "
Madankollu, l-eżekuzzjoni tal-kodiċi tista 'tinkiseb f'soluzzjoni alternattiva.
Xi siti, inklużi Google Maps, Gmail, u Google Images, jużaw it-teknika ta 'tagħbija dinamika ta' blokki JavaScript eżekutibbli, trażmessi fil-forma ta 'test vojt. Jekk is-server jippermetti d-direzzjoni mill-ġdid tat-talba, allura t-trażmissjoni lil host ieħor jista 'jinkiseb billi jinbidlu l-parametri tal-URL (per eżempju, fil-kuntest ta' Google, jista 'jsir direzzjoni mill-ġdid permezz tal-API "
Il-metodu ta' attakk propost jaffettwa biss paġni li jgħabbu b'mod dinamiku kordi ta' kodiċi JavaScript (pereżempju, permezz ta' XMLHttpRequest jew Fetch) u mbagħad jesegwixxuhom. Limitazzjoni importanti oħra hija l-ħtieġa li tuża direzzjoni mill-ġdid jew titqiegħed dejta arbitrarja fuq in-naħa tas-server oriġinali li joħroġ ir-riżorsa. Madankollu, biex turi r-rilevanza tal-attakk, jintwera kif torganizza l-eżekuzzjoni tal-kodiċi tiegħek meta tiftaħ maps.google.com, billi tuża redirect permezz ta '"google.com/search".
It-tiswija għadha qed titħejja. Il-problema taffettwa wkoll lill-imblokkaturi
L-iżviluppaturi ta 'Adblock Plus iqisu li l-attakki reali mhumiex probabbli, peress li l-bidliet kollha fil-listi standard ta' regoli huma riveduti, u l-konnessjoni ta 'listi ta' partijiet terzi hija estremament rari fost l-utenti. Is-sostituzzjoni tar-regoli permezz tal-MITM hija evitata bl-użu default tal-HTTPS għat-tniżżil ta’ listi ta’ blokk standard (għal listi oħra huwa ppjanat li jiġi pprojbit it-tniżżil permezz tal-HTTP f’rilaxx futur). Direttivi jistgħu jintużaw biex jimblukkaw attakk fuq in-naħa tas-sit
Sors: opennet.ru