Katika kizuizi cha tangazo cha Adblock Plus kuathirika, panga utekelezaji wa msimbo wa JavaScript katika muktadha wa tovuti, katika kesi ya kutumia vichujio ambavyo havijathibitishwa vilivyotayarishwa na washambuliaji (kwa mfano, wakati wa kuunganisha seti za sheria za watu wengine au kwa kubadilisha sheria wakati wa shambulio la MITM).
Waandishi wa orodha zilizo na seti za vichungi wanaweza kupanga utekelezaji wa nambari zao katika muktadha wa tovuti zilizofunguliwa na mtumiaji kwa kuongeza sheria na opereta "", ambayo hukuruhusu kubadilisha sehemu ya URL. Opereta ya kuandika upya haikuruhusu kubadilisha seva pangishi katika URL, lakini inakuruhusu kuendesha kwa uhuru hoja za ombi. Maandishi pekee yanaruhusiwa kama kinyago mbadala, na ubadilishaji wa hati, kitu na tagi ndogo unaruhusiwa. .
Walakini, utekelezaji wa nambari unaweza kupatikana katika suluhisho.
Baadhi ya tovuti, ikiwa ni pamoja na Ramani za Google, Gmail, na Picha za Google, hutumia mbinu ya kupakia vizuizi vya JavaScript vinavyotekelezeka, vinavyotumwa kwa njia ya maandishi tupu. Ikiwa seva itaruhusu uelekezaji upya wa ombi, basi kusambaza kwa seva pangishi nyingine kunaweza kupatikana kwa kubadilisha vigezo vya URL (kwa mfano, katika muktadha wa Google, uelekezaji upya unaweza kufanywa kupitia API ""). Mbali na seva pangishi zinazoruhusu kuelekeza kwingine, shambulio linaweza pia kutekelezwa dhidi ya huduma zinazoruhusu uchapishaji wa maudhui ya mtumiaji (kupangisha msimbo, mifumo ya uchapishaji wa makala, n.k.).
Mbinu ya mashambulizi inayopendekezwa huathiri tu kurasa zinazopakia mifuatano ya msimbo wa JavaScript (kwa mfano, kupitia XMLHttpRequest au Leta) na kisha kuitekeleza. Kizuizi kingine muhimu ni hitaji la kutumia kuelekeza kwingine au kuweka data kiholela kwenye kando ya seva asili inayotoa rasilimali. Hata hivyo, ili kuonyesha umuhimu wa shambulio hilo, inaonyeshwa jinsi ya kupanga utekelezaji wa msimbo wako unapofungua maps.google.com, kwa kutumia uelekezaji upya kupitia "google.com/search".
Urekebishaji bado uko katika maandalizi. Tatizo pia huathiri blockers ΠΈ . Kizuizi cha Mwanzo cha uBlock hakiathiriwi na shida, kwani hakiungi mkono opereta "andika upya". Wakati mmoja mwandishi wa uBlock Origin
ongeza usaidizi wa kuandika upya, ukitoa mfano wa masuala ya usalama yanayoweza kutokea na vikwazo visivyotosha vya kiwango cha mwenyeji (chaguo la querystrip lilipendekezwa badala ya kuandika upya ili kusafisha vigezo vya hoja badala ya kuvibadilisha).
Watengenezaji wa Adblock Plus wanaona kuwa mashambulizi ya kweli hayawezekani, kwa kuwa mabadiliko yote kwenye orodha ya kawaida ya sheria yanakaguliwa, na kuunganisha orodha za watu wengine ni nadra sana kati ya watumiaji. Ubadilishaji wa sheria kupitia MITM umezuiwa na utumiaji chaguomsingi wa HTTPS kupakua orodha za kawaida za vizuizi (kwa orodha zingine imepangwa kupiga marufuku upakuaji kupitia HTTP katika toleo la baadaye). Maagizo yanaweza kutumika kuzuia shambulio kwenye upande wa tovuti (Sera ya Usalama ya Maudhui), ambayo kupitia kwayo unaweza kubainisha kwa uwazi wapangishi ambao rasilimali za nje zinaweza kupakiwa.
Chanzo: opennet.ru