ಇತ್ತೀಚೆಗೆ ಅದನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು ಜನಪ್ರಿಯ ಜಾಹೀರಾತು ಬ್ಲಾಕರ್ «ಆಡ್ಬ್ಲಾಕ್ ಪ್ಲಸ್ a ದುರ್ಬಲತೆಯನ್ನು ಹೊಂದಿದೆ ಅದು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ ಸೈಟ್ಗಳಲ್ಲಿ, ಮೂರನೇ ವ್ಯಕ್ತಿಗಳು ಸಿದ್ಧಪಡಿಸಿದ ಪರೀಕ್ಷಿಸದ ಫಿಲ್ಟರ್ಗಳನ್ನು ಬಳಸುವ ಸಂದರ್ಭದಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಉದ್ದೇಶದಿಂದ (ಉದಾಹರಣೆಗೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ ನಿಯಮ ಸೆಟ್ಗಳನ್ನು ಸಂಪರ್ಕಿಸುವ ಮೂಲಕ ಅಥವಾ ಎಂಐಟಿಎಂ ದಾಳಿಯ ಸಮಯದಲ್ಲಿ ನಿಯಮ ಬದಲಿಯಾಗಿ).
ಫಿಲ್ಟರ್ ಸೆಟ್ಗಳೊಂದಿಗೆ ಲೇಖಕರನ್ನು ಪಟ್ಟಿ ಮಾಡಿ ಸೈಟ್ಗಳಿಗೆ ಪ್ರವೇಶಿಸಬಹುದಾದ ಸಂದರ್ಭದಲ್ಲಿ ಅವರ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಂಘಟಿಸಬಹುದು ಆಪರೇಟರ್ with $ ಪುನಃ ಬರೆಯುವ with ನೊಂದಿಗೆ ಬಳಕೆದಾರರು ನಿಯಮಗಳನ್ನು ಸೇರಿಸುತ್ತಾರೆ, ಇದು URL ನ ಭಾಗವನ್ನು ಬದಲಾಯಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಈ ಕೋಡ್ ಮರಣದಂಡನೆ ಹೇಗೆ ಸಾಧ್ಯ?
ನ ಘೋಷಣೆ w ಪುನಃ ಬರೆಯುವಿಕೆಯು ಹೋಸ್ಟ್ ಅನ್ನು ಬದಲಿಸಲು ಅನುಮತಿಸುವುದಿಲ್ಲ url ನಲ್ಲಿ, ಆದರೆ ಇದು ವಾದಗಳನ್ನು ಮುಕ್ತವಾಗಿ ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸಲು ಅವಕಾಶವನ್ನು ಒದಗಿಸುತ್ತದೆ ವಿನಂತಿಯ.
ಆದಾಗ್ಯೂ, ಕೋಡ್ ಮರಣದಂಡನೆಯನ್ನು ಸಾಧಿಸಬಹುದು. ಗೂಗಲ್ ನಕ್ಷೆಗಳು, ಜಿಮೇಲ್ ಮತ್ತು ಗೂಗಲ್ ಚಿತ್ರಗಳಂತಹ ಕೆಲವು ಸೈಟ್ಗಳು, ಅವರು ಸರಳ ಪಠ್ಯದ ರೂಪದಲ್ಲಿ ಹರಡುವ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಬ್ಲಾಕ್ಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಲೋಡ್ ಮಾಡುವ ತಂತ್ರವನ್ನು ಬಳಸುತ್ತಾರೆ.
ವಿನಂತಿಗಳ ಮರುನಿರ್ದೇಶನವನ್ನು ಸರ್ವರ್ ಅನುಮತಿಸಿದರೆ, ಅದನ್ನು URL ನ ನಿಯತಾಂಕಗಳನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ಮತ್ತೊಂದು ಹೋಸ್ಟ್ಗೆ ರವಾನಿಸಬಹುದು (ಉದಾಹರಣೆಗೆ, Google ನ ಸಂದರ್ಭದಲ್ಲಿ, API »google.com/search through ಮೂಲಕ ಮರುನಿರ್ದೇಶನವನ್ನು ಮಾಡಬಹುದು) .
ಜೊತೆಗೆ ಪುನರ್ನಿರ್ದೇಶನವನ್ನು ಅನುಮತಿಸುವ ಆತಿಥೇಯರು, ನೀವು ಸಹ ದಾಳಿ ಮಾಡಬಹುದು ಬಳಕೆದಾರರ ವಿಷಯದ ಸ್ಥಳವನ್ನು ಅನುಮತಿಸುವ ಸೇವೆಗಳ ವಿರುದ್ಧ (ಕೋಡ್ ಹೋಸ್ಟಿಂಗ್, ಲೇಖನ ನಿಯೋಜನೆ ವೇದಿಕೆ, ಇತ್ಯಾದಿ).
ವಿಧಾನ ಪ್ರಸ್ತಾವಿತ ದಾಳಿಯು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ನೊಂದಿಗೆ ತಂತಿಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಲೋಡ್ ಮಾಡುವ ಪುಟಗಳ ಮೇಲೆ ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಉದಾಹರಣೆಗೆ XMLHttpRequest ಅಥವಾ Fetch ಮೂಲಕ) ಮತ್ತು ನಂತರ ಅವುಗಳನ್ನು ಚಲಾಯಿಸಿ.
ಮತ್ತೊಂದು ಪ್ರಮುಖ ಮಿತಿಯೆಂದರೆ ಸಂಪನ್ಮೂಲವನ್ನು ಒದಗಿಸುವ ಮೂಲ ಸರ್ವರ್ನ ಬದಿಯಲ್ಲಿ ಮರುನಿರ್ದೇಶನ ಅಥವಾ ಅನಿಯಂತ್ರಿತ ಡೇಟಾವನ್ನು ಬಳಸುವುದು.
ಆದಾಗ್ಯೂ, ದಾಳಿಯ ಪ್ರಸ್ತುತತೆಯ ಪ್ರದರ್ಶನವಾಗಿ"google.com/search" ಮೂಲಕ ಮರುನಿರ್ದೇಶನವನ್ನು ಬಳಸಿಕೊಂಡು map.google.com ಅನ್ನು ತೆರೆಯುವ ಮೂಲಕ ನಿಮ್ಮ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಹೇಗೆ ಆಯೋಜಿಸಬಹುದು ಎಂಬುದನ್ನು ತೋರಿಸುತ್ತದೆ.
ವಾಸ್ತವವಾಗಿ, ಚಲಾಯಿಸಲು ದೂರಸ್ಥ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು XMLHttpRequest ಅಥವಾ Fetch ಅನ್ನು ಬಳಸುವ ವಿನಂತಿಗಳು $ ಪುನಃ ಬರೆಯುವ ಆಯ್ಕೆಯನ್ನು ಬಳಸಿದಾಗ ವಿಫಲವಾಗುವುದಿಲ್ಲ.
ಅಲ್ಲದೆ, ತೆರೆದ ಮರುನಿರ್ದೇಶನವು ಅಷ್ಟೇ ಮುಖ್ಯವಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಒಂದೇ ಮೂಲದಿಂದ ಬಂದಂತೆ ಕಂಡುಬಂದರೂ ಸಹ, ದೂರಸ್ಥ ಸೈಟ್ನಿಂದ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಓದಲು XMLHttpRequest ಅನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
ಅವರು ಈಗಾಗಲೇ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸುವ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದಾರೆ
ಪರಿಹಾರ ಇನ್ನೂ ಸಿದ್ಧತೆಯಲ್ಲಿದೆ. ಆಡ್ಬ್ಲಾಕ್ ಮತ್ತು ಯುಬ್ಲಾಕ್ ಬ್ಲಾಕರ್ಗಳ ಮೇಲೂ ಈ ಸಮಸ್ಯೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. UBlock ಆರಿಜಿನ್ ಬ್ಲಾಕರ್ the $ ಪುನಃ ಬರೆಯುವ »ಆಪರೇಟರ್ ಅನ್ನು ಬೆಂಬಲಿಸದ ಕಾರಣ ಸಮಸ್ಯೆಗೆ ಒಳಗಾಗುವುದಿಲ್ಲ.
ಒಂದು ಹಂತದಲ್ಲಿ, ಯುಬ್ಲಾಕ್ ಆರಿಜಿನ್ ಲೇಖಕರು $ ಪುನಃ ಬರೆಯುವ ಬೆಂಬಲವನ್ನು ಸೇರಿಸಲು ನಿರಾಕರಿಸಿದರು, ಸಂಭವನೀಯ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳು ಮತ್ತು ಸಾಕಷ್ಟು ಹೋಸ್ಟ್-ಮಟ್ಟದ ನಿರ್ಬಂಧಗಳನ್ನು ಉಲ್ಲೇಖಿಸಿ (ಪುನಃ ಬರೆಯುವ ಬದಲು, ಪ್ರಶ್ನಾವಳಿ ನಿಯತಾಂಕಗಳನ್ನು ಬದಲಿಸುವ ಬದಲು ಪ್ರಶ್ನೆಯ ನಿಯತಾಂಕಗಳನ್ನು ತೆರವುಗೊಳಿಸಲು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ).
ನಮ್ಮ ಬಳಕೆದಾರರನ್ನು ರಕ್ಷಿಸುವುದು ನಮ್ಮ ಜವಾಬ್ದಾರಿಯಾಗಿದೆ.
ಕಡಿಮೆ ಅಪಾಯದ ಹೊರತಾಗಿಯೂ, $ ಪುನಃ ಬರೆಯುವ ಆಯ್ಕೆಯನ್ನು ತೆಗೆದುಹಾಕಲು ನಾವು ನಿರ್ಧರಿಸಿದ್ದೇವೆ. ಆದ್ದರಿಂದ, ತಾಂತ್ರಿಕವಾಗಿ ಸಾಧ್ಯವಾದಷ್ಟು ಬೇಗ ನಾವು ಆಡ್ಬ್ಲಾಕ್ ಪ್ಲಸ್ನ ನವೀಕರಿಸಿದ ಆವೃತ್ತಿಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡುತ್ತೇವೆ.
ನಾವು ಇದನ್ನು ಮುನ್ನೆಚ್ಚರಿಕೆಯಾಗಿ ಮಾಡುತ್ತೇವೆ. ಪುನಃ ಬರೆಯುವ ಆಯ್ಕೆಯನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳಲು ಯಾವುದೇ ಪ್ರಯತ್ನ ಮಾಡಲಾಗಿಲ್ಲ ಮತ್ತು ಇದು ಸಂಭವಿಸದಂತೆ ತಡೆಯಲು ನಾವು ನಮ್ಮ ಕೈಲಾದಷ್ಟು ಪ್ರಯತ್ನಿಸುತ್ತೇವೆ.
ಇದರರ್ಥ ಯಾವುದೇ ಆಡ್ಬ್ಲಾಕ್ ಪ್ಲಸ್ ಬಳಕೆದಾರರಿಗೆ ಯಾವುದೇ ಬೆದರಿಕೆ ಇಲ್ಲ.
ಡಿಆಡ್ಬ್ಲಾಕ್ ಪ್ಲಸ್ ಅಭಿವರ್ಧಕರು ನಿಜವಾದ ದಾಳಿಯನ್ನು ಅಸಂಭವವೆಂದು ಪರಿಗಣಿಸುತ್ತಾರೆ, ನಿಯಮಿತ ನಿಯಮ ಪಟ್ಟಿಗಳ ಎಲ್ಲಾ ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ತೃತೀಯ ಪಟ್ಟಿಗಳ ಸಂಪರ್ಕವನ್ನು ಬಳಕೆದಾರರು ಬಹಳ ವಿರಳವಾಗಿ ಅಭ್ಯಾಸ ಮಾಡುತ್ತಾರೆ.
ಎಂಐಟಿಎಂ ಮೂಲಕ ನಿಯಮ ಬದಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಎಚ್ಟಿಟಿಪಿಎಸ್ ಬಳಕೆಯನ್ನು ತೆಗೆದುಹಾಕುತ್ತದೆ ನಿಯಮಿತ ಬ್ಲಾಕ್ ಪಟ್ಟಿಗಳನ್ನು ಲೋಡ್ ಮಾಡಲು (ಉಳಿದ ಪಟ್ಟಿಗಳಿಗೆ ಭವಿಷ್ಯದ ಬಿಡುಗಡೆಯಲ್ಲಿ ಎಚ್ಟಿಟಿಪಿ ಡೌನ್ಲೋಡ್ ಅನ್ನು ನಿಷೇಧಿಸಲು ಯೋಜಿಸಲಾಗಿದೆ).
ಸೈಟ್ಗಳ ಬದಿಯಲ್ಲಿ ದಾಳಿಗಳನ್ನು ನಿರ್ಬಂಧಿಸಲು, ಸಿಎಸ್ಪಿ ನಿರ್ದೇಶನಗಳನ್ನು ಅನ್ವಯಿಸಬಹುದು (ವಿಷಯ ಭದ್ರತಾ ನೀತಿ), ಇದರ ಮೂಲಕ ಬಾಹ್ಯ ಸಂಪನ್ಮೂಲಗಳನ್ನು ಲೋಡ್ ಮಾಡಬಹುದಾದ ಆತಿಥೇಯರನ್ನು ನೀವು ಸ್ಪಷ್ಟವಾಗಿ ಗುರುತಿಸಬಹುದು.
ಮೂಲ: https://adblockplus.org, https://armin.dev