မေးခွန်းထုတ်နိုင်သော စစ်ထုတ်မှုများကို အသုံးပြုသည့်အခါ ကုဒ်လုပ်ဆောင်မှုကို ခွင့်ပြုသည့် Adblock Plus တွင် အားနည်းချက်

Adblock Plus ad blocker တွင် ဖော်ထုတ်ခဲ့သည်။ အားနည်းချက်၊ ခွင့်ပြုခြင်း။ တိုက်ခိုက်သူများမှ ပြင်ဆင်ထားသော အတည်မပြုရသေးသော စစ်ထုတ်မှုများကို အသုံးပြုခြင်း (ဥပမာ၊ ပြင်ပအဖွဲ့အစည်း စည်းမျဉ်းများကို ချိတ်ဆက်သည့်အခါ သို့မဟုတ် MITM တိုက်ခိုက်မှုအတွင်း စည်းမျဉ်းများကို အစားထိုးခြင်းဖြင့်) ဆိုက်များအတွင်း JavaScript ကုဒ်၏ လုပ်ဆောင်မှုကို စုစည်းပါ။

စစ်ထုတ်မှု အစုံပါသော စာရင်းပြုစုသူများသည် သုံးစွဲသူမှ ဖွင့်ထားသော ဝဘ်ဆိုက်များအတွင်း ၎င်းတို့၏ ကုဒ်များကို စီမံဆောင်ရွက်နိုင်သည်""ပြန်လည်ရေးသားURL ၏ အစိတ်အပိုင်းကို အစားထိုးရန် ခွင့်ပြုသည်။ ပြန်လည်ရေးသားသည့် အော်ပရေတာသည် သင့်အား URL တွင် လက်ခံသူအား အစားထိုးရန် ခွင့်မပြုသော်လည်း ၎င်းသည် သင့်အား တောင်းဆိုချက်ဆိုင်ရာ အကြောင်းပြချက်များကို လွတ်လပ်စွာ စီမံခန့်ခွဲရန် ခွင့်ပြုထားသည်။ စာသားကိုသာ အစားထိုးမျက်နှာဖုံးအဖြစ် အသုံးပြုနိုင်ပြီး script၊ object နှင့် subdocument tag များကို အစားထိုးခွင့် ပြုသည် ပိတ်ဆို့ထားသည်။.

သို့သော်၊ ဖြေရှင်းချက်တစ်ခုတွင် code execution ကိုအောင်မြင်နိုင်သည်။
Google Maps၊ Gmail၊ နှင့် Google Images အပါအဝင် အချို့သောဆိုဒ်များသည် စာသားသက်သက်ဖြင့် ထုတ်လွှင့်နိုင်သော executable JavaScript blocks များကို ဒိုင်းနမစ်ဖြင့် တင်ခြင်းနည်းပညာကို အသုံးပြုပါသည်။ ဆာဗာသည် တောင်းဆိုချက်ကို ပြန်ညွှန်းခြင်းအား ခွင့်ပြုပါက၊ URL ဘောင်များကို ပြောင်းလဲခြင်းဖြင့် အခြား host သို့ ထပ်ဆင့်ပို့ခြင်းကို အောင်မြင်နိုင်သည် (ဥပမာ၊ Google ၏ အခြေအနေတွင်၊ API "မှတဆင့် ပြန်ညွှန်းနိုင်သည်"google.com/search” ) ။ ပြန်ညွှန်းခြင်းကိုခွင့်ပြုသည့် host များအပြင်၊ အသုံးပြုသူအကြောင်းအရာတင်ခြင်းခွင့်ပြုသည့်ဝန်ဆောင်မှုများ (ကုဒ် hosting၊ ဆောင်းပါးတင်ခြင်းပလပ်ဖောင်းစသည်ဖြင့်) ကိုတိုက်ခိုက်နိုင်သည်။

အဆိုပြုထားသော တိုက်ခိုက်မှုနည်းလမ်းသည် JavaScript ကုဒ်ကြိုးများကို ဒိုင်းနမစ်တင်သည့် စာမျက်နှာများ (ဥပမာ၊ XMLHttpRequest သို့မဟုတ် Fetch) မှတဆင့်သာ အကျိုးသက်ရောက်ပြီး ၎င်းတို့ကို လုပ်ဆောင်ပါသည်။ နောက်ထပ် အရေးကြီးသော ကန့်သတ်ချက်မှာ အရင်းအမြစ်ကို ထုတ်ပေးသည့် မူရင်းဆာဗာ၏ ဘေးတွင် မထင်သလို ဒေတာကို လမ်းကြောင်းလွှဲရန် အသုံးပြုရန် လိုအပ်သည်။ သို့သော်၊ တိုက်ခိုက်မှု၏ ဆက်စပ်မှုကို သရုပ်ပြရန်၊ “google.com/search” မှတဆင့် ပြန်ညွှန်းခြင်းအား အသုံးပြု၍ maps.google.com ကိုဖွင့်သောအခါတွင် သင့်ကုဒ်၏ စီမံဆောင်ရွက်မှုကို မည်သို့စီစဉ်ရမည်ကို ပြသထားသည်။

ပြင်ဆင်မှုကတော့ ပြင်ဆင်နေတုန်းပါပဲ။ အဆိုပါပြဿနာသည် blockers ကိုလည်းအကျိုးသက်ရောက်သည်။ AdBlock и uBlock. uBlock Origin blocker သည် "rewrite" အော်ပရေတာအား မပံ့ပိုးသောကြောင့် ပြဿနာကြောင့် ထိခိုက်ခြင်းမရှိပါ။ တစ်ချိန်က uBlock Origin ကိုရေးသားသူ
ငြင်းဆန်ခဲ့သည် ဖြစ်နိုင်ချေရှိသော လုံခြုံရေးပြဿနာများနှင့် လက်ခံဆောင်ရွက်ပေးသူ အဆင့်ကန့်သတ်ချက်များကို ကိုးကား၍ ပြန်လည်ရေးသားခြင်းအတွက် ပံ့ပိုးမှုထည့်ပါ (၎င်းတို့ကို အစားထိုးမည့်အစား မေးမြန်းမှုဘောင်များကို ရှင်းလင်းရန် ပြန်လည်ရေးသားမည့်အစား querystrip ရွေးချယ်မှုကို အဆိုပြုထားသည်)။

Adblock Plus ဆော့ဖ်ဝဲရေးသားသူများသည် မှန်ကန်သောတိုက်ခိုက်မှုများကို ဖြစ်နိုင်ခြေမရှိဟု ယူဆသည်၊ အဘယ်ကြောင့်ဆိုသော် စံစည်းမျဉ်းစာရင်းများ၏ ပြောင်းလဲမှုအားလုံးကို ပြန်လည်သုံးသပ်ပြီး ပြင်ပအဖွဲ့အစည်းစာရင်းများကို ချိတ်ဆက်ခြင်းသည် သုံးစွဲသူများကြားတွင် အလွန်ရှားပါးသောကြောင့်ဖြစ်သည်။ MITM မှတစ်ဆင့် စည်းမျဉ်းများကို အစားထိုးခြင်းသည် စံပိတ်ဆို့စာရင်းများကို ဒေါင်းလုဒ်လုပ်ရန်အတွက် HTTPS ၏ မူရင်းအသုံးပြုမှုဖြင့် တားဆီးထားပါသည် (အခြားစာရင်းများအတွက် ၎င်းသည် အနာဂတ်တွင် HTTP မှတစ်ဆင့် ဒေါင်းလုဒ်ဆွဲခြင်းကို တားမြစ်ရန် စီစဉ်ထားသည်)။ ဆိုက်ဘက်ခြမ်းတွင် တိုက်ခိုက်ခြင်းကို ပိတ်ဆို့ရန် ညွှန်ကြားချက်များကို အသုံးပြုနိုင်သည်။ CSP (အကြောင်းအရာ လုံခြုံရေးမူဝါဒ)၊ ပြင်ပအရင်းအမြစ်များကို တင်ဆောင်နိုင်သည့် hosts များကို ပြတ်သားစွာ ဆုံးဖြတ်နိုင်သည်။

source: opennet.ru