Adblock Plus ప్రకటన బ్లాకర్లో దుర్బలత్వం, దాడి చేసేవారు (ఉదాహరణకు, మూడవ పక్షం నియమాలను కనెక్ట్ చేసేటప్పుడు లేదా MITM దాడి సమయంలో నియమాలను ప్రత్యామ్నాయం చేయడం ద్వారా) తయారుచేసిన ధృవీకరించని ఫిల్టర్లను ఉపయోగించే సందర్భంలో, సైట్ల సందర్భంలో జావాస్క్రిప్ట్ కోడ్ అమలును నిర్వహించండి.
ఫిల్టర్ల సెట్లతో జాబితాల రచయితలు ఆపరేటర్తో నియమాలను జోడించడం ద్వారా వినియోగదారు తెరిచిన సైట్ల సందర్భంలో వారి కోడ్ అమలును నిర్వహించగలరు "", ఇది URLలో కొంత భాగాన్ని భర్తీ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. రీరైట్ ఆపరేటర్ మిమ్మల్ని URLలో హోస్ట్ని రీప్లేస్ చేయడానికి అనుమతించదు, అయితే ఇది అభ్యర్థన ఆర్గ్యుమెంట్లను స్వేచ్ఛగా మార్చడానికి మిమ్మల్ని అనుమతిస్తుంది. వచనాన్ని మాత్రమే భర్తీ ముసుగుగా ఉపయోగించవచ్చు మరియు స్క్రిప్ట్, ఆబ్జెక్ట్ మరియు సబ్డాక్యుమెంట్ ట్యాగ్ల ప్రత్యామ్నాయం అనుమతించబడుతుంది .
అయితే, కోడ్ అమలును ఒక ప్రత్యామ్నాయంలో సాధించవచ్చు.
Google మ్యాప్స్, Gmail మరియు Google చిత్రాలతో సహా కొన్ని సైట్లు, బేర్ టెక్స్ట్ రూపంలో ప్రసారం చేయబడిన ఎక్జిక్యూటబుల్ జావాస్క్రిప్ట్ బ్లాక్లను డైనమిక్గా లోడ్ చేసే సాంకేతికతను ఉపయోగిస్తాయి. సర్వర్ అభ్యర్థన దారి మళ్లింపును అనుమతిస్తే, URL పారామితులను మార్చడం ద్వారా మరొక హోస్ట్కి ఫార్వార్డింగ్ చేయడం సాధ్యపడుతుంది (ఉదాహరణకు, Google సందర్భంలో, API ద్వారా దారి మళ్లింపు చేయవచ్చు ""). దారి మళ్లింపును అనుమతించే హోస్ట్లతో పాటు, వినియోగదారు కంటెంట్ను (కోడ్ హోస్టింగ్, ఆర్టికల్ పోస్టింగ్ ప్లాట్ఫారమ్లు మొదలైనవి) పోస్ట్ చేయడానికి అనుమతించే సేవలపై కూడా దాడి చేయవచ్చు.
ప్రతిపాదిత దాడి పద్ధతి జావాస్క్రిప్ట్ కోడ్ యొక్క స్ట్రింగ్లను డైనమిక్గా లోడ్ చేసే పేజీలను మాత్రమే ప్రభావితం చేస్తుంది (ఉదాహరణకు, XMLHttpRequest లేదా Fetch ద్వారా) ఆపై వాటిని అమలు చేయండి. మరో ముఖ్యమైన పరిమితి ఏమిటంటే, రీడైరెక్ట్ను ఉపయోగించడం లేదా వనరును జారీ చేసే అసలైన సర్వర్ వైపు ఏకపక్ష డేటాను ఉంచడం. అయితే, దాడి యొక్క ఔచిత్యాన్ని ప్రదర్శించడానికి, "google.com/search" ద్వారా దారిమార్పును ఉపయోగించి maps.google.comని తెరిచేటప్పుడు మీ కోడ్ అమలును ఎలా నిర్వహించాలో చూపబడింది.
ఫిక్స్ ఇంకా ప్రిపరేషన్లో ఉంది. సమస్య బ్లాకర్లను కూడా ప్రభావితం చేస్తుంది и . uBlock ఆరిజిన్ బ్లాకర్ "రీరైట్" ఆపరేటర్కు మద్దతివ్వనందున, సమస్య ద్వారా ప్రభావితం కాలేదు. ఒకప్పుడు uBlock ఆరిజిన్ రచయిత
సంభావ్య భద్రతా సమస్యలు మరియు తగినంత హోస్ట్-స్థాయి పరిమితులను ఉటంకిస్తూ తిరిగి వ్రాయడానికి మద్దతును జోడించండి (ప్రశ్న పారామితులను భర్తీ చేయడానికి బదులుగా వాటిని తిరిగి వ్రాయడానికి బదులుగా క్వెరీస్ట్రిప్ ఎంపిక ప్రతిపాదించబడింది).
Adblock Plus డెవలపర్లు నిజమైన దాడులు అసంభవమని భావిస్తారు, ఎందుకంటే నియమాల యొక్క ప్రామాణిక జాబితాలకు అన్ని మార్పులు సమీక్షించబడతాయి మరియు మూడవ పక్ష జాబితాలను కనెక్ట్ చేయడం వినియోగదారులలో చాలా అరుదు. ప్రామాణిక బ్లాక్ జాబితాలను డౌన్లోడ్ చేయడానికి HTTPS యొక్క డిఫాల్ట్ ఉపయోగం ద్వారా MITM ద్వారా నియమాల ప్రత్యామ్నాయం నిరోధించబడుతుంది (ఇతర జాబితాల కోసం భవిష్యత్తులో విడుదలలో HTTP ద్వారా డౌన్లోడ్ చేయడాన్ని నిషేధించాలని ప్రణాళిక చేయబడింది). సైట్ వైపు దాడిని నిరోధించడానికి ఆదేశాలను ఉపయోగించవచ్చు (కంటెంట్ సెక్యూరిటీ పాలసీ), దీని ద్వారా మీరు బాహ్య వనరులను లోడ్ చేయగల హోస్ట్లను స్పష్టంగా గుర్తించవచ్చు.
మూలం: opennet.ru