अलीकडे याचा शोध लागला लोकप्रिय जाहिरात ब्लॉकर «Blockडब्लॉक प्लस मध्ये एक असुरक्षा आहे जी जावास्क्रिप्ट कोडची अंमलबजावणी आयोजित करण्यास अनुमती देते साइटवर, तृतीय पक्षाद्वारे तयार केलेले अटेस्टेड फिल्टर्स वापरण्याच्या बाबतीत दुर्भावनायुक्त हेतूने (उदाहरणार्थ, एमआयटीएम अटॅक दरम्यान तृतीय-पक्ष नियम सेटद्वारे किंवा नियम प्रतिस्थापनाद्वारे).
फिल्टर संचासह लेखकांची यादी करा वर प्रवेश करण्यायोग्य साइटच्या संदर्भात त्यांच्या कोडची अंमलबजावणी आयोजित करू शकते वापरकर्त्याने adding w पुनर्लेखन operator ऑपरेटरसह नियम जोडणे, जे URL चा भाग पुनर्स्थित करण्यास अनुमती देते.
या कोडची अंमलबजावणी कशी शक्य आहे?
ची घोषणा w पुनर्लेखन होस्ट पुनर्स्थित करण्याची परवानगी देत नाही url मध्ये, परंतु युक्तिवादात मुक्तपणे कार्य करण्याची संधी प्रदान करते विनंती
तथापि, कोड अंमलबजावणी साध्य करता येते. Google नकाशे, Gmail आणि Google प्रतिमा यासारख्या काही साइट्स, ते साध्या मजकूराच्या रूपात प्रसारित केलेले एक्जीक्यूटेबल जावास्क्रिप्ट ब्लॉक गतिकरित्या लोड करण्याचे तंत्र वापरतात.
सर्व्हर विनंत्यांकडे पुनर्निर्देशित करण्यास परवानगी देत असल्यास, नंतर त्यास URL च्या मापदंडांमध्ये बदल करून दुसर्या होस्टकडे पाठविला जाऊ शकतो (उदाहरणार्थ, Google च्या संदर्भात, API »google.com/search through द्वारे पुनर्निर्देशन केले जाऊ शकते) .
याच्या व्यतिरीक्त पुनर्निर्देशनास अनुमती देणारी होस्ट, आपण आक्रमण देखील करु शकता वापरकर्त्याच्या सामग्रीचे स्थान (कोड होस्टिंग, लेख प्लेसमेंट प्लॅटफॉर्म, इ.) परवानगी देणार्या सेवांच्या विरूद्ध.
च्या पद्धती प्रस्तावित हल्ला केवळ जावास्क्रिप्ट कोडसह गतीशीलपणे तार लोड करणार्या पृष्ठांवर परिणाम करते (उदाहरणार्थ, XMLHttpRequest किंवा प्राप्त करा मार्गे) आणि नंतर त्यांना चालवा.
संसाधने प्रदान करणार्या मूळ सर्व्हरच्या बाजूला पुनर्निर्देशित किंवा अनियंत्रित डेटा ठेवण्याची आवश्यकता ही आणखी एक मुख्य मर्यादा आहे.
तथापि, हल्ल्याच्या प्रासंगिकतेचे प्रदर्शन म्हणून, "google.com/search" द्वारे पुनर्निर्देशित वापरून नकाशे.google.com उघडून आपली कोड अंमलबजावणी कशी व्यवस्थित करावी ते दर्शविते.
खरं तर, w पुनर्लेखन पर्याय वापरला जातो तेव्हा चालविण्यासाठी दूरस्थ स्क्रिप्ट डाउनलोड करण्यासाठी XMLHttpRequest किंवा प्राप्त करण्यासाठीच्या विनंत्या अयशस्वी होणार नाहीत.
तसेच, मुक्त पुनर्निर्देशन देखील तितकेच महत्त्वाचे आहे कारण ते एक्सएमएलएचटीपीआरक्वेस्टला त्याच स्त्रोतावरून दिसत असले तरीही दूरस्थ साइटवरून स्क्रिप्ट वाचण्यास अनुमती देते.
ते आधीच समस्या सोडवण्यावर काम करत आहेत
समाधान अद्याप तयार आहे. समस्येचा परिणाम अॅडबॉक आणि यू-ब्लॉकवर देखील होतो. यूब्लॉक ओरिजिन ब्लॉकर समस्येस अतिसंवेदनशील नाही कारण ते $ $ पुनर्लेखन »ऑपरेटरला समर्थन देत नाही.
एका क्षणी, यूब्लॉक ओरिजनच्या लेखकाने संभाव्य सुरक्षा समस्या आणि अपुरा होस्ट-स्तरीय निर्बंध (पुन्हा लिहिण्याऐवजी क्वेरीस्ट्रिप पर्याय पुनर्स्थित करण्याऐवजी क्वेरी पॅरामीटर्स क्लिअर करण्यासाठी प्रस्तावित केले) $ पुनर्लेखन समर्थन जोडण्यास नकार दिला.
आमच्या वापरकर्त्यांचे संरक्षण करण्याची जबाबदारी आपली आहे.
अगदी कमी वास्तविक जोखीम असूनही आम्ही $ पुनर्लेखन पर्याय काढायचा निर्णय घेतला. म्हणूनच, तांत्रिकदृष्ट्या शक्य तितक्या लवकर आम्ही अडब्लॉक प्लसची अद्ययावत आवृत्ती प्रकाशित करू.
आम्ही खबरदारी म्हणून करतो. पुनर्लेखनाच्या पर्यायाचा दुरुपयोग करण्याचा कोणताही प्रयत्न केलेला नाही आणि हे होण्यापासून रोखण्यासाठी आम्ही सर्वतोपरी प्रयत्न करू.
याचा अर्थ असा आहे की कोणत्याही अॅडब्लॉक प्लस वापरकर्त्यास कोणताही धोका नाही.
डीअॅडब्लॉक प्लस विकसकांनी प्रत्यक्ष हल्ल्यांना संभवतेचा विचार केला नाही, नियमित नियम याद्यांमधील सर्व बदलांचे पुनरावलोकन केले जात आहे आणि तृतीय-पक्षाच्या याद्यांचे कनेक्शन वापरकर्त्यांकडून फारच क्वचितच पाळले जाते.
एमआयटीएम मार्गे नियम बदलणे डीफॉल्टनुसार एचटीटीपीएसचा वापर काढून टाकते नियमित ब्लॉक याद्या लोड करण्यासाठी (उर्वरित याद्यांसाठी भविष्यातील रिलीझमध्ये एचटीटीपी डाऊनलोड करण्यास बंदी घालण्याचे नियोजित आहे).
साइट्सवरील हल्ले रोखण्यासाठी, सीएसपी निर्देश लागू केले जाऊ शकतात (सामग्री सुरक्षा धोरण), ज्याद्वारे आपण बाह्य संसाधने लोड केल्या जाऊ शकतात अशा होस्टना स्पष्टपणे ओळखू शकता.
स्त्रोत: https://adblockplus.org, https://armin.dev