சமீபத்தில் அது கண்டுபிடிக்கப்பட்டது பிரபலமான விளம்பர தடுப்பான் «Adblock Plus Java ஒரு பாதிப்பைக் கொண்டுள்ளது, இது ஜாவாஸ்கிரிப்ட் குறியீட்டை இயக்க ஏற்பாடு செய்ய அனுமதிக்கிறது தளங்களில், மூன்றாம் தரப்பினரால் தயாரிக்கப்பட்ட சோதிக்கப்படாத வடிப்பான்களைப் பயன்படுத்துவதில் தீங்கிழைக்கும் நோக்கத்துடன் (எடுத்துக்காட்டாக, மூன்றாம் தரப்பு விதி தொகுப்புகளை இணைப்பதன் மூலம் அல்லது எம்ஐடிஎம் தாக்குதலின் போது விதி மாற்றீடு மூலம்).
வடிகட்டி தொகுப்புகளுடன் ஆசிரியர்களை பட்டியலிடுங்கள் அணுகக்கூடிய தளங்களின் சூழலில் அவற்றின் குறியீட்டை செயல்படுத்த ஏற்பாடு செய்யலாம் பயனர் ஆபரேட்டர் with $ மீண்டும் எழுதுதல் with உடன் விதிகளைச் சேர்ப்பது, இது URL இன் பகுதியை மாற்ற அனுமதிக்கிறது.
இந்த குறியீடு செயல்படுத்தல் எவ்வாறு சாத்தியமாகும்?
அறிவிப்பு w மீண்டும் எழுதுவது ஹோஸ்டை மாற்ற அனுமதிக்காது url இல், ஆனால் அது வாதங்களை சுதந்திரமாக கையாள வாய்ப்பை வழங்குகிறது கோரிக்கையின்.
எனினும் குறியீடு செயல்படுத்தல் அடைய முடியும். கூகிள் மேப்ஸ், ஜிமெயில் மற்றும் கூகிள் படங்கள் போன்ற சில தளங்கள், அவை எளிய உரை வடிவத்தில் கடத்தப்படும் இயங்கக்கூடிய ஜாவாஸ்கிரிப்ட் தொகுதிகளை மாறும் ஏற்றும் நுட்பத்தைப் பயன்படுத்துகின்றன.
கோரிக்கைகளை திருப்பிவிட சேவையகம் அனுமதித்தால், URL இன் அளவுருக்களை மாற்றுவதன் மூலம் அதை மற்றொரு ஹோஸ்டுக்கு அனுப்பலாம் (எடுத்துக்காட்டாக, கூகிளின் சூழலில், ஏபிஐ »google.com/search through மூலம் திருப்பிவிட முடியும்) .
கூடுதலாக திருப்பிவிட அனுமதிக்கும் ஹோஸ்ட்கள், நீங்கள் தாக்குதலையும் செய்யலாம் பயனர் உள்ளடக்கத்தின் இருப்பிடத்தை அனுமதிக்கும் சேவைகளுக்கு எதிராக (குறியீடு ஹோஸ்டிங், கட்டுரை வேலை வாய்ப்பு தளம் போன்றவை).
முறை முன்மொழியப்பட்ட தாக்குதல் ஜாவாஸ்கிரிப்ட் குறியீட்டைக் கொண்டு சரங்களை மாறும் ஏற்ற பக்கங்களை மட்டுமே பாதிக்கிறது (எடுத்துக்காட்டாக XMLHttpRequest அல்லது Fetch வழியாக) பின்னர் அவற்றை இயக்கவும்.
மற்றொரு பெரிய வரம்பு என்னவென்றால், ஆதாரத்தை வழங்கும் மூல சேவையகத்தின் பக்கத்தில் ஒரு வழிமாற்றுதல் அல்லது தன்னிச்சையான தரவைப் பயன்படுத்துவது.
எனினும், தாக்குதலின் பொருத்தத்தை நிரூபிக்கும் விதமாக"google.com/search" வழியாக திருப்பி விடுதலைப் பயன்படுத்தி map.google.com ஐத் திறப்பதன் மூலம் உங்கள் குறியீடு செயல்பாட்டை எவ்வாறு ஒழுங்கமைப்பது என்பதைக் காட்டுகிறது.
உண்மையில், இயங்குவதற்கு தொலை ஸ்கிரிப்ட்களை பதிவிறக்கம் செய்ய XMLHttpRequest அல்லது Fetch ஐப் பயன்படுத்துவதற்கான கோரிக்கைகள் $ rewrite விருப்பம் பயன்படுத்தப்படும்போது தோல்வியடையாது.
மேலும், திறந்த வழிமாற்று மிகவும் முக்கியமானது, ஏனெனில் இது எக்ஸ்எம்எல்ஹெச்.டி.ஆர்.வெஸ்ட்டை ஒரு தொலை தளத்திலிருந்து ஸ்கிரிப்டைப் படிக்க அனுமதிக்கிறது, அதே மூலத்திலிருந்து தோன்றினாலும்.
அவர்கள் ஏற்கனவே சிக்கலைத் தீர்க்கும் பணியில் ஈடுபட்டுள்ளனர்
தீர்வு இன்னும் தயாரிப்பில் உள்ளது. சிக்கல் AdBlock மற்றும் uBlock தடுப்பான்களையும் பாதிக்கிறது. UBlock தோற்றம் தடுப்பான் »$ மாற்றியமைத்தல்» ஆபரேட்டரை ஆதரிக்காததால் சிக்கலுக்கு ஆளாகாது.
ஒரு கட்டத்தில், uBlock Origin ஆசிரியர் $ மறுபரிசீலனை ஆதரவைச் சேர்க்க மறுத்துவிட்டார், சாத்தியமான பாதுகாப்பு சிக்கல்கள் மற்றும் போதுமான ஹோஸ்ட்-நிலை கட்டுப்பாடுகள் ஆகியவற்றைக் குறிப்பிட்டு (மீண்டும் எழுதுவதற்கு பதிலாக, வினவல் அளவுருக்கள் அவற்றை மாற்றுவதற்கு பதிலாக வினவல் அளவுருக்களை அழிக்க முன்மொழியப்பட்டது).
எங்கள் பயனர்களைப் பாதுகாப்பது எங்கள் பொறுப்பு.
உண்மையான ஆபத்து மிகக் குறைவாக இருந்தாலும், $ மீண்டும் எழுதும் விருப்பத்தை அகற்ற முடிவு செய்தோம். எனவே, தொழில்நுட்ப ரீதியாக முடிந்தவரை விரைவில் ஆட்லாக் பிளஸின் புதுப்பிக்கப்பட்ட பதிப்பை வெளியிடுவோம்.
இதை ஒரு முன்னெச்சரிக்கையாக நாங்கள் செய்கிறோம். மாற்றியமைக்கும் விருப்பத்தை தவறாகப் பயன்படுத்த எந்த முயற்சியும் எடுக்கப்படவில்லை, இது நிகழாமல் தடுக்க எங்களால் முடிந்த அனைத்தையும் செய்வோம்.
எந்த ஆட் பிளாக் பிளஸ் பயனருக்கும் எந்த அச்சுறுத்தலும் இல்லை என்பதே இதன் பொருள்.
தி டிஆட்லாக் பிளஸ் டெவலப்பர்கள் உண்மையான தாக்குதல்களை சாத்தியமில்லை என்று கருதுகின்றனர், வழக்கமான விதி பட்டியல்களில் உள்ள அனைத்து மாற்றங்களும் மதிப்பாய்வு செய்யப்பட்டு, மூன்றாம் தரப்பு பட்டியல்களின் இணைப்பு பயனர்களால் மிகவும் அரிதாகவே நடைமுறையில் உள்ளது.
MITM வழியாக விதி மாற்றீடு இயல்பாக HTTPS பயன்பாட்டை நீக்குகிறது வழக்கமான தொகுதி பட்டியல்களை ஏற்றுவதற்கு (மீதமுள்ள பட்டியல்களுக்கு எதிர்கால வெளியீட்டில் HTTP பதிவிறக்கத்தை தடை செய்ய திட்டமிடப்பட்டுள்ளது).
தளங்களின் தாக்குதல்களைத் தடுக்க, சி.எஸ்.பி உத்தரவுகளைப் பயன்படுத்தலாம் (உள்ளடக்க பாதுகாப்புக் கொள்கை), இதன் மூலம் வெளிப்புற ஆதாரங்களை ஏற்றக்கூடிய ஹோஸ்ட்களை நீங்கள் வெளிப்படையாக அடையாளம் காணலாம்.
மூல: https://adblockplus.org, https://armin.dev