Adblock Plus reklam engelleyicide
Filtre kümeleri içeren listelerin yazarları, " operatörüyle kurallar ekleyerek, kullanıcı tarafından açılan siteler bağlamında kodlarının yürütülmesini düzenleyebilirler.
Ancak geçici bir çözümle kod yürütme gerçekleştirilebilir.
Google Haritalar, Gmail ve Google Görseller dahil olmak üzere bazı siteler, çıplak metin biçiminde iletilen yürütülebilir JavaScript bloklarını dinamik olarak yükleme tekniğini kullanır. Sunucu, isteğin yeniden yönlendirilmesine izin veriyorsa, URL parametreleri değiştirilerek başka bir ana bilgisayara yönlendirme yapılabilir (örneğin, Google bağlamında, API aracılığıyla bir yönlendirme yapılabilir)
Önerilen saldırı yöntemi yalnızca JavaScript kodu dizelerini dinamik olarak yükleyen (örneğin, XMLHttpRequest veya Fetch yoluyla) ve ardından bunları çalıştıran sayfaları etkiler. Bir diğer önemli sınırlama, kaynağı sağlayan orijinal sunucunun yanına bir yönlendirme kullanma veya rastgele veri yerleştirme ihtiyacıdır. Ancak, saldırının alaka düzeyini göstermek için, “google.com/search” üzerinden bir yönlendirme kullanarak, haritalar.google.com'u açarken kodunuzun yürütülmesini nasıl organize edeceğiniz gösterilir.
Düzeltme halen hazırlık aşamasındadır. Sorun aynı zamanda engelleyicileri de etkiliyor
Adblock Plus geliştiricileri, standart kural listelerindeki tüm değişiklikler gözden geçirildiğinden ve kullanıcılar arasında üçüncü taraf listelerine bağlanmak son derece nadir olduğundan, gerçek saldırıların olası olmadığını düşünüyor. MITM aracılığıyla kuralların değiştirilmesi, standart engelleme listelerini indirmek için HTTPS'nin varsayılan kullanımıyla engellenir (diğer listeler için gelecekteki bir sürümde HTTP yoluyla indirmenin yasaklanması planlanmaktadır). Yönergeler site tarafındaki bir saldırıyı engellemek için kullanılabilir
Kaynak: opennet.ru