У Адблоцк Плус блокатору огласа
Аутори листа са скуповима филтера могу да организују извршавање свог кода у контексту сајтова које је корисник отворио додавањем правила са оператором "
Међутим, извршавање кода се може постићи заобилазним решењем.
Неки сајтови, укључујући Гоогле Мапс, Гмаил и Гоогле Имагес, користе технику динамичког учитавања извршних ЈаваСцрипт блокова, који се преносе у облику голог текста. Ако сервер дозвољава преусмеравање захтева, онда се прослеђивање на други хост може постићи променом параметара УРЛ адресе (на пример, у контексту Гоогле-а, преусмеравање се може извршити преко АПИ-ја "
Предложени метод напада утиче само на странице које динамички учитавају низове ЈаваСцрипт кода (на пример, преко КСМЛХттпРекуест или Фетцх) и затим их извршавају. Још једно важно ограничење је потреба за коришћењем преусмеравања или стављањем произвољних података на страну оригиналног сервера који издаје ресурс. Међутим, да би се демонстрирала релевантност напада, приказано је како да организујете извршавање вашег кода приликом отварања мапс.гоогле.цом, користећи преусмеравање преко „гоогле.цом/сеарцх“.
Поправка је још увек у припреми. Проблем такође утиче на блокаторе
Програмери Адблоцк Плус-а сматрају да су прави напади мало вероватни, пошто се све промене стандардних листа правила прегледају, а повезивање листа трећих страна је изузетно ретко међу корисницима. Замена правила преко МИТМ-а је спречена подразумеваном употребом ХТТПС-а за преузимање стандардних блок листа (за остале листе је планирано да се забрани преузимање преко ХТТП-а у будућем издању). Директиве се могу користити за блокирање напада на страни сајта
Извор: опеннет.ру