V blokatorju oglasov Adblock Plus
Avtorji seznamov z nizi filtrov lahko organizirajo izvajanje svoje kode v kontekstu spletnih mest, ki jih odpre uporabnik, tako da dodajo pravila z operatorjem "
Vendar pa je izvajanje kode mogoče doseči z nadomestno rešitvijo.
Nekatera spletna mesta, vključno z Google Zemljevidi, Gmailom in Google Slikami, uporabljajo tehniko dinamičnega nalaganja izvedljivih blokov JavaScript, ki se prenašajo v obliki golega besedila. Če strežnik dovoljuje preusmeritev zahteve, je posredovanje na drugega gostitelja mogoče doseči s spremembo parametrov URL (na primer, v kontekstu Googla se lahko preusmeritev izvede prek API-ja "
Predlagana metoda napada vpliva samo na strani, ki dinamično nalagajo nize kode JavaScript (na primer prek XMLHttpRequest ali Fetch) in jih nato izvajajo. Druga pomembna omejitev je potreba po uporabi preusmeritve ali postavitvi poljubnih podatkov na stran prvotnega strežnika, ki izdaja vir. Vendar pa je za prikaz pomembnosti napada prikazano, kako organizirati izvajanje vaše kode, ko odprete maps.google.com, s preusmeritvijo prek »google.com/search«.
Popravek je še v pripravi. Težava vpliva tudi na blokatorje
Razvijalci Adblock Plus menijo, da so pravi napadi malo verjetni, saj se pregledajo vse spremembe standardnih seznamov pravil, povezovanje seznamov tretjih oseb pa je med uporabniki izjemno redko. Zamenjava pravil prek MITM je preprečena s privzeto uporabo HTTPS za prenos standardnih seznamov blokiranih (za druge sezname je načrtovana prepoved prenosa prek HTTP v prihodnji izdaji). Navodila se lahko uporabljajo za blokiranje napada na strani spletnega mesta
Vir: opennet.ru