În Adblock Plus blocarea reclamelor
Autorii de liste cu seturi de filtre își pot organiza execuția codului în contextul site-urilor deschise de utilizator prin adăugarea de reguli cu operatorul "
Cu toate acestea, execuția codului poate fi realizată într-o soluție.
Unele site-uri, inclusiv Google Maps, Gmail și Google Images, folosesc tehnica de încărcare dinamică a blocurilor JavaScript executabile, transmise sub formă de text simplu. Dacă serverul permite redirecționarea solicitărilor, atunci redirecționarea către o altă gazdă poate fi realizată prin modificarea parametrilor URL (de exemplu, în contextul Google, o redirecționare poate fi făcută prin intermediul API-ului "
Metoda de atac propusă afectează numai paginile care încarcă dinamic șiruri de cod JavaScript (de exemplu, prin XMLHttpRequest sau Fetch) și apoi le execută. O altă limitare importantă este necesitatea de a utiliza o redirecționare sau de a plasa date arbitrare pe partea serverului original care emite resursa. Totuși, pentru a demonstra relevanța atacului, se arată cum să organizezi execuția codului tău la deschiderea maps.google.com, folosind o redirecționare prin „google.com/search”.
Remedierea este încă în pregătire. Problema afectează și blocanții
Dezvoltatorii Adblock Plus consideră că atacurile reale sunt puțin probabile, deoarece toate modificările la listele standard de reguli sunt revizuite, iar conectarea listelor terță parte este extrem de rară în rândul utilizatorilor. Înlocuirea regulilor prin MITM este împiedicată prin utilizarea implicită a HTTPS pentru descărcarea listelor standard de blocare (pentru alte liste se plănuiește interzicerea descărcarii prin HTTP într-o versiune viitoare). Directivele pot fi folosite pentru a bloca un atac din partea site-ului
Sursa: opennet.ru