ایڈ بلاک پلس ایڈ بلاکر میں
فلٹرز کے سیٹ کے ساتھ فہرستوں کے مصنفین آپریٹر کے ساتھ قواعد شامل کرکے صارف کی طرف سے کھولی گئی سائٹوں کے تناظر میں اپنے کوڈ کے نفاذ کو منظم کر سکتے ہیں۔
تاہم، کوڈ پر عمل درآمد ایک کام میں حاصل کیا جا سکتا ہے۔
کچھ سائٹس، بشمول گوگل میپس، جی میل، اور گوگل امیجز، متحرک طور پر ایگزیکیوٹیبل جاوا اسکرپٹ بلاکس کو لوڈ کرنے کی تکنیک کا استعمال کرتے ہیں، جو ننگے ٹیکسٹ کی شکل میں منتقل ہوتے ہیں۔ اگر سرور درخواست کی ری ڈائریکشن کی اجازت دیتا ہے، تو پھر یو آر ایل کے پیرامیٹرز کو تبدیل کرکے کسی دوسرے میزبان کو فارورڈ کرنا ممکن ہے (مثال کے طور پر، گوگل کے تناظر میں، API کے ذریعے ری ڈائریکٹ کیا جا سکتا ہے"
حملے کا مجوزہ طریقہ صرف ان صفحات کو متاثر کرتا ہے جو متحرک طور پر JavaScript کوڈ کے تار لوڈ کرتے ہیں (مثال کے طور پر XMLHttpRequest یا Fetch کے ذریعے) اور پھر ان پر عمل درآمد کرتے ہیں۔ ایک اور اہم حد ایک ری ڈائریکٹ استعمال کرنے کی ضرورت ہے یا وسائل جاری کرنے والے اصل سرور کی طرف من مانی ڈیٹا رکھنے کی ضرورت ہے۔ تاہم، حملے کی مطابقت کو ظاہر کرنے کے لیے، یہ دکھایا گیا ہے کہ "google.com/search" کے ذریعے ایک ری ڈائریکٹ کا استعمال کرتے ہوئے maps.google.com کھولتے وقت اپنے کوڈ کے نفاذ کو کیسے منظم کیا جائے۔
ٹھیک کرنا ابھی تیاری میں ہے۔ مسئلہ بلاکرز کو بھی متاثر کرتا ہے۔
Adblock Plus کے ڈویلپرز حقیقی حملوں کو غیر ممکن سمجھتے ہیں، کیونکہ قواعد کی معیاری فہرستوں میں ہونے والی تمام تبدیلیوں کا جائزہ لیا جاتا ہے، اور صارفین کے درمیان تیسرے فریق کی فہرستوں کو جوڑنا بہت کم ہوتا ہے۔ معیاری بلاک فہرستوں کو ڈاؤن لوڈ کرنے کے لیے HTTPS کے پہلے سے طے شدہ استعمال سے MITM کے ذریعے قواعد کی تبدیلی کو روکا جاتا ہے (دوسری فہرستوں کے لیے یہ مستقبل کی ریلیز میں HTTP کے ذریعے ڈاؤن لوڈ کرنے سے منع کرنے کا منصوبہ ہے)۔ سائٹ سائڈ پر ہونے والے حملے کو روکنے کے لیے ہدایات کا استعمال کیا جا سکتا ہے۔
ماخذ: opennet.ru