সম্প্রতি এটি আবিষ্কার করা হয়েছিল যে জনপ্রিয় বিজ্ঞাপন ব্লকার «অ্যাডব্লক প্লাস এর একটি দুর্বলতা রয়েছে যা জাভাস্ক্রিপ্ট কোডটি কার্যকর করতে সংগঠিত করে সাইটগুলিতে, তৃতীয় পক্ষ দ্বারা প্রস্তুত অনির্ধারিত ফিল্টার ব্যবহারের ক্ষেত্রে দূষিত অভিপ্রায় সহ (উদাহরণস্বরূপ, তৃতীয় পক্ষের নিয়ম সেটগুলি সংযুক্ত করে বা এমআইটিএম আক্রমণের সময় নিয়মের বিকল্প দ্বারা)।
ফিল্টার সেট সহ লেখকদের তালিকাবদ্ধ করুন এগুলিতে অ্যাক্সেসযোগ্য সাইটগুলির প্রসঙ্গে তাদের কোডের প্রয়োগের ব্যবস্থা করতে পারে ব্যবহারকারী অপারেটরের সাথে নিয়ম যুক্ত করে $ w পুনর্লিখন।, যা ইউআরএল এর কিছু অংশ প্রতিস্থাপন করতে দেয়।
কিভাবে এই কোড কার্যকর করা সম্ভব?
এর ঘোষণা w পুনর্লিখন হোস্টটি প্রতিস্থাপনের অনুমতি দেয় না ইউআরএল, তবে এটি নিখরচায়ভাবে যুক্তিগুলি পরিচালনা করার সুযোগ সরবরাহ করে provides অনুরোধের।
কিন্তু কোড কার্যকর করা যায়। গুগল ম্যাপস, জিমেইল এবং গুগল ইমেজগুলির মতো কিছু সাইট, এগুলি প্লেইন পাঠ্যের আকারে প্রেরণযোগ্য কার্যকর জাভাস্ক্রিপ্ট ব্লকগুলি গতিশীলভাবে লোড করার কৌশলটি ব্যবহার করে।
সার্ভার যদি অনুরোধগুলির পুনঃনির্দেশের অনুমতি দেয় তবে URL এর প্যারামিটারগুলি পরিবর্তন করে এটি অন্য হোস্টের কাছে ফরোয়ার্ড করা যেতে পারে (উদাহরণস্বরূপ, গুগলের প্রসঙ্গে, API through google.com/search through এর মাধ্যমে একটি পুনর্নির্দেশ করা যেতে পারে) ।
ছাড়াও হোস্টগুলি যা পুনঃনির্দেশের অনুমতি দেয়, আপনি আক্রমণও করতে পারেন পরিষেবাগুলির বিরুদ্ধে যা ব্যবহারকারীর সামগ্রীর অবস্থানের অনুমতি দেয় (কোড হোস্টিং, নিবন্ধ স্থান নির্ধারণ প্ল্যাটফর্ম, ইত্যাদি)।
পদ্ধতি প্রস্তাবিত আক্রমণ কেবলমাত্র সেই পৃষ্ঠাগুলিকেই প্রভাবিত করে যা জাভাস্ক্রিপ্ট কোড সহ স্ট্রিংগুলি গতিশীলভাবে লোড করে (উদাহরণস্বরূপ, এক্সএমএল এইচটিপিআরকিউস্ট বা আনুন) এর মাধ্যমে এবং সেগুলি চালনা করুন।
আর একটি প্রধান সীমাবদ্ধতা হ'ল উত্স সার্ভারের পাশে পুনর্নির্দেশ করা বা স্বেচ্ছাসেবী ডেটা স্থাপন করা প্রয়োজন যা সংস্থান সরবরাহ করে।
যাইহোক, একটি আক্রমণ প্রাসঙ্গিকতার একটি প্রদর্শন হিসাবে, এটি আপনাকে দেখায় যে কীভাবে "google.com/search" এর মাধ্যমে পুনর্নির্দেশের সাহায্যে মানচিত্র.google.com খোলার মাধ্যমে আপনার কোড সম্পাদনকে সংগঠিত করবেন।
প্রকৃতপক্ষে, এক্সএমএলএইচটিপিআরকিউয়েস্ট ব্যবহার করতে অনুরোধগুলি চালানোর জন্য রিমোট স্ক্রিপ্টগুলি ডাউনলোড করতে ডাউনলোড করতে অনুরোধগুলি ব্যর্থ হবে না যখন option পুনর্লিখন বিকল্পটি ব্যবহৃত হবে।
এছাড়াও, উন্মুক্ত পুনর্নির্দেশটি ঠিক ততটাই গুরুত্বপূর্ণ কারণ এটি XMLHttpRequest কে দূরবর্তী সাইট থেকে স্ক্রিপ্টটি পড়তে দেয়, যদিও এটি একই উত্স থেকে উপস্থিত বলে মনে হচ্ছে।
তারা ইতিমধ্যে সমস্যা সমাধানে কাজ করছে
সমাধান এখনও প্রস্তুতিতে আছে। সমস্যাটি অ্যাডব্লক এবং ইউব্লক ব্লকারকেও প্রভাবিত করে। B w পুনর্লিখন Block অপারেটরটিকে সমর্থন না করায় ইউব্লক অরিজিন অবরুদ্ধকারী সমস্যাটির পক্ষে সংবেদনশীল নয়।
এক পর্যায়ে, ইউব্লক অরিজিন লেখক সম্ভাব্য সুরক্ষা সমস্যা এবং অপর্যাপ্ত হোস্ট-স্তরের বিধিনিষেধের উদ্ধৃতি দিয়ে w পুনর্লিখন সমর্থন যুক্ত করতে অস্বীকার করেছিলেন (পুনরায় লেখার পরিবর্তে ক্যোরিস্ট্রিপ বিকল্পটি পরিবর্তে পরিবর্তে ক্যোয়ারী প্যারামিটার সাফ করার প্রস্তাব দেওয়া হয়েছিল)।
আমাদের ব্যবহারকারীদের রক্ষা করা আমাদের দায়িত্ব।
খুব কম প্রকৃত ঝুঁকি থাকা সত্ত্বেও, আমরা w পুনর্লিখন বিকল্পটি সরানোর সিদ্ধান্ত নিয়েছি। অতএব, আমরা প্রযুক্তিগতভাবে যত তাড়াতাড়ি সম্ভব অ্যাডব্লক প্লাসের একটি আপডেট সংস্করণ প্রকাশ করব।
আমরা এটি একটি সতর্কতা হিসাবে করি। পুনর্লিখন বিকল্পটির অপব্যবহার করার কোনও চেষ্টা করা হয়নি এবং এটি যাতে না ঘটে সেজন্য আমরা যথাসাধ্য চেষ্টা করব।
এর অর্থ এই যে কোনও অ্যাডব্লক প্লাস ব্যবহারকারীর জন্য কোনও হুমকি নেই।
ডিঅ্যাডব্লক প্লাস বিকাশকারীরা প্রকৃত আক্রমণকে অসম্ভব বলে মনে করে, যেহেতু নিয়মিত নিয়ম তালিকার সমস্ত পরিবর্তন পর্যালোচনা করা হয় এবং তৃতীয় পক্ষের তালিকার সংযোগটি ব্যবহারকারীরা খুব কমই অনুশীলন করেন।
এমআইটিএম এর মাধ্যমে বিধি প্রতিস্থাপন ডিফল্টরূপে এইচটিটিপিএস ব্যবহার সরিয়ে দেয় নিয়মিত ব্লক তালিকাগুলি লোড করতে (বাকী তালিকার জন্য এটি ভবিষ্যতে প্রকাশে এইচটিটিপি ডাউনলোড নিষিদ্ধ করার পরিকল্পনা করা হয়েছে)।
সাইটগুলিতে আক্রমণগুলি অবরোধ করতে, সিএসপি নির্দেশাবলী প্রয়োগ করা যেতে পারে (বিষয়বস্তু সুরক্ষা নীতি), যার মাধ্যমে আপনি স্পষ্টভাবে হোস্টগুলি সনাক্ত করতে পারবেন যা থেকে বাহ্যিক সংস্থানগুলি লোড করা যায়।
উৎস: https://adblockplus.org, https://armin.dev