તાજેતરમાં તે શોધ્યું હતું કે લોકપ્રિય જાહેરાત અવરોધક «એડબ્લોક પ્લસ એક નબળાઈ છે જે જાવાસ્ક્રિપ્ટ કોડના અમલીકરણને ગોઠવવા દે છે સાઇટ્સ પર, તૃતીય પક્ષો દ્વારા તૈયાર કરેલા અનટેસ્ડ ફિલ્ટર્સનો ઉપયોગ કરવાના કિસ્સામાં દૂષિત ઉદ્દેશ સાથે (ઉદાહરણ તરીકે, તૃતીય-પક્ષના નિયમ સેટને કનેક્ટ કરીને અથવા એમઆઇટીએમ એટેક દરમિયાન નિયમ અવેજી દ્વારા).
ફિલ્ટર સેટ સાથે લેખકોની સૂચિ codeક્સેસ કરી શકાય તેવી સાઇટ્સના સંદર્ભમાં તેમના કોડના અમલને ગોઠવી શકે છે વપરાશકર્તા operator $ ફરીથી લખો operator ઓપરેટર સાથે નિયમો ઉમેરી રહ્યા છે, જે URL નો ભાગ બદલવાની મંજૂરી આપે છે.
આ કોડ અમલ કેવી રીતે શક્ય છે?
ની ઘોષણા w ફરીથી લખાઈ હોસ્ટને બદલવાની મંજૂરી આપતું નથી યુઆરએલમાં, પરંતુ તે દલીલોથી મુક્તપણે ચાલાકી કરવાની તક પૂરી પાડે છે વિનંતી.
જો કે, કોડ એક્ઝેક્યુશન પ્રાપ્ત કરી શકાય છે. કેટલીક સાઇટ્સ, જેમ કે ગૂગલ મેપ્સ, જીમેલ અને ગૂગલ છબીઓ, તેઓ સાદા લખાણના સ્વરૂપમાં પ્રસારિત એક્ઝેક્યુટેબલ જાવાસ્ક્રિપ્ટ બ્લોક્સની ગતિશીલરૂપે લોડ કરવાની તકનીકનો ઉપયોગ કરે છે.
જો સર્વર વિનંતીઓના રીડાયરેક્શનને મંજૂરી આપે છે, તો પછી તે URL ના પરિમાણોને બદલીને બીજા હોસ્ટને ફોરવર્ડ કરી શકાય છે (ઉદાહરણ તરીકે, ગૂગલના સંદર્ભમાં, API »google.com/search« દ્વારા રીડાયરેક્શન થઈ શકે છે) .
ઉપરાંત યજમાનો કે જે રીડાયરેક્શનની મંજૂરી આપે છે, તમે પણ હુમલો કરી શકો છો સેવાઓ સામે જે વપરાશકર્તા સામગ્રીના સ્થાનને મંજૂરી આપે છે (કોડ હોસ્ટિંગ, લેખ પ્લેસમેન્ટ પ્લેટફોર્મ, વગેરે).
ની પદ્ધતિ સૂચિત હુમલો ફક્ત એવા પૃષ્ઠોને અસર કરે છે જે જાવાસ્ક્રિપ્ટ કોડ સાથે ગતિશીલ રીતે શબ્દમાળાઓ લોડ કરે છે (ઉદાહરણ તરીકે, XMLHttpRequest અથવા મેળવો દ્વારા) અને પછી તેને ચલાવો.
બીજી મોટી મર્યાદા એ મૂળ સર્વરની બાજુ પર રીડાયરેક્ટ અથવા મનસ્વી ડેટા મૂકવાની જરૂર છે જે સંસાધન પૂરું પાડે છે.
જો કે, હુમલોની સુસંગતતાના નિદર્શન તરીકે, બતાવે છે કે કેવી રીતે તમારા કોડ એક્ઝેક્યુશનને "google.com/search" દ્વારા રીડાયરેક્ટનો ઉપયોગ કરીને map.google.com ખોલીને ગોઠવી શકાય છે.
હકીકતમાં, ML ફરીથી લખાણ વિકલ્પનો ઉપયોગ કરવામાં આવે ત્યારે ચલાવવા માટે રિમોટ સ્ક્રિપ્ટોને ડાઉનલોડ કરવા માટે XMLHttpRequest અથવા લાવોની વિનંતીઓ નિષ્ફળ થશે નહીં.
ઉપરાંત, ખુલ્લા પુન redદિશામાન એટલા જ મહત્વપૂર્ણ છે કારણ કે તે XMLHttpRequest ને દૂરસ્થ સાઇટથી સ્ક્રિપ્ટ વાંચવાની મંજૂરી આપે છે, તેમ છતાં તે એક જ સ્રોતમાંથી દેખાય છે.
તેઓ પહેલાથી જ સમસ્યાનું નિરાકરણ લાવવાનું કામ કરી રહ્યા છે
સોલ્યુશન હજી તૈયારીમાં છે. સમસ્યા એડબ્લોક અને યુબ્લોક બ્લ blકર્સને પણ અસર કરે છે. યુબ્લોક ઓરિજિન બ્લ Blockકર સમસ્યા માટે સંવેદનશીલ નથી કારણ કે તે $ $ ફરીથી લખો »ઓપરેટરને સપોર્ટ કરતું નથી.
એક તબક્કે, યુબ્લોક ઓરિજિન લેખકે સંભવિત સુરક્ષા સમસ્યાઓ અને અપર્યાપ્ત હોસ્ટ-સ્તરના નિયંત્રણોને ટાંકીને $ પુનર્લેખન સમર્થન ઉમેરવાનો ઇનકાર કર્યો હતો (ફરીથી લખવાને બદલે, ક્વેરીસ્ટ્રીપ વિકલ્પને બદલવાને બદલે ક્વેરી પરિમાણોને સાફ કરવાનો પ્રસ્તાવ મૂક્યો હતો).
અમારા વપરાશકર્તાઓનું રક્ષણ કરવાની જવાબદારી અમારી છે.
ખૂબ ઓછા વાસ્તવિક જોખમ હોવા છતાં, અમે $ ફરીથી લખાણ વિકલ્પને દૂર કરવાનો નિર્ણય કર્યો. તેથી, અમે તકનીકી શક્ય તેટલી વહેલી તકે એડબ્લોક પ્લસનું અપડેટ કરેલું સંસ્કરણ રજૂ કરીશું.
અમે સાવચેતી તરીકે આ કરીએ છીએ. ફરીથી લખવાના વિકલ્પનો દુરૂપયોગ કરવાનો કોઈ પ્રયાસ કરવામાં આવ્યો નથી અને આવું ન થાય તે માટે અમે અમારા શ્રેષ્ઠ પ્રયાસો કરીશું.
આનો અર્થ એ છે કે કોઈપણ એડબ્લોક પ્લસ વપરાશકર્તાને કોઈ ખતરો નથી.
ડીએડબ્લોક પ્લસ વિકાસકર્તાઓ વાસ્તવિક હુમલાઓને અસંભવિત માને છે, નિયમિત નિયમ સૂચિમાંના તમામ ફેરફારોની સમીક્ષા કરવામાં આવે છે અને તૃતીય-પક્ષ યાદીઓના જોડાણનો ઉપયોગ વપરાશકર્તાઓ દ્વારા ભાગ્યે જ કરવામાં આવે છે.
એમઆઈટીએમ દ્વારા નિયમ અવેજી ડિફ HTલ્ટ રૂપે HTTPS નો ઉપયોગ દૂર કરે છે નિયમિત બ્લ blockક યાદીઓ લોડ કરવા માટે (બાકીની સૂચિ માટે ભાવિ પ્રકાશનમાં HTTP ડાઉનલોડ પર પ્રતિબંધ મૂકવાનું આયોજન છે).
સાઇટ્સ તરફના હુમલાઓને અવરોધિત કરવા, સીએસપીના નિર્દેશો લાગુ કરી શકાય છે (સામગ્રી સુરક્ષા નીતિ), જેના દ્વારા તમે સ્પષ્ટપણે હોસ્ટ્સને ઓળખી શકો છો કે જેનાથી બાહ્ય સંસાધનો લોડ થઈ શકે છે.
સ્રોત: https://adblockplus.org, https://armin.dev