Kamakailan lamang ito ay natuklasan na ang tanyag na ad blocker «Ang Adblock Plus »ay may kahinaan na nagbibigay-daan sa pag-aayos ng pagpapatupad ng JavaScript code sa mga site, sa kaso ng paggamit ng hindi nasubukan na mga filter na inihanda ng mga third party may masamang hangarin (halimbawa, sa pamamagitan ng pagkonekta ng mga hanay ng panuntunan ng third-party o sa pamamagitan ng pagpapalit ng panuntunan sa panahon ng pag-atake ng MITM).
Ilista ang mga may-akda na may mga hanay ng filter maaaring ayusin ang pagpapatupad ng kanilang code sa konteksto ng mga site na naa-access sa gumagamit ng pagdaragdag ng mga panuntunan sa operator »$ rewrite«, na nagbibigay-daan upang palitan ang bahagi ng URL.
Paano posible ang pagpapatupad ng code na ito?
Pagdeklara ng Hindi pinapayagan ng $ rewrite na palitan ang host sa url, ngunit nagbibigay ito ng pagkakataon na malayang manipulahin ang mga argumento ng kahilingan.
Gayunman maaaring makamit ang pagpapatupad ng code. Ang ilang mga site, tulad ng Google Maps, Gmail, at Google Images, ginagamit nila ang pamamaraan ng pabagu-bagong pag-load ng maipapatupad na mga bloke ng JavaScript na naihatid sa anyo ng payak na teksto.
Kung pinapayagan ng server ang pag-redirect ng mga kahilingan, maaari itong ipasa sa ibang host sa pamamagitan ng pagbabago ng mga parameter ng URL (halimbawa, sa konteksto ng Google, maaaring gawin ang isang pag-redirect sa pamamagitan ng API »google.com/search«) .
At host na pinapayagan ang pag-redirect, maaari mo ring atake laban sa mga serbisyong pinapayagan ang lokasyon ng nilalaman ng gumagamit (pag-host sa code, platform ng paglalagay ng artikulo, atbp.).
Ang pamamaraan ng Ang iminungkahing pag-atake ay nakakaapekto lamang sa mga pahina na pabagu-load ng mga string gamit ang JavaScript code (halimbawa, sa pamamagitan ng XMLHttpRequest o Fetch) at pagkatapos ay patakbuhin ang mga ito.
Ang isa pang pangunahing limitasyon ay ang pangangailangan na gumamit ng isang pag-redirect o ilagay ang di-makatwirang data sa gilid ng pinagmulan ng server na nagbibigay ng mapagkukunan.
Gayunpaman, bilang isang pagpapakita ng kaugnayan ng isang pag-atake, ipinapakita sa iyo kung paano ayusin ang iyong pagpapatupad ng code sa pamamagitan ng pagbubukas ng maps.google.com gamit ang isang pag-redirect sa pamamagitan ng "google.com/search".
Sa katunayan, ang mga kahilingan na gumamit ng XMLHttpRequest o Fetch upang mag-download ng mga remote script upang tumakbo ay hindi mabibigo kapag ginamit ang pagpipiliang $ rewrite.
Gayundin, ang bukas na pag-redirect ay kasinghalaga din dahil pinapayagan nitong basahin ng XMLHttpRequest ang script mula sa isang malayuang site, kahit na nagmula ito sa parehong mapagkukunan.
Nagtatrabaho na sila sa paglutas ng problema
Ang solusyon ay nasa paghahanda pa rin. Nakakaapekto rin ang problema sa AdBlock at uBlock blockers. Ang uBlock Origin Blocker ay hindi madaling kapitan sa problema dahil hindi nito sinusuportahan ang »$ rewrite» operator.
Sa isang punto, tumanggi ang may-akda ng uBlock Origin na magdagdag ng suporta sa $ muling pagsulat, na binabanggit ang mga posibleng isyu sa seguridad at hindi sapat na mga paghihigpit sa antas ng host (sa halip na muling pagsulat, ang pagpipiliang querystrip ay iminungkahi upang linisin ang mga parameter ng query sa halip na palitan ang mga ito).
Responsibilidad naming protektahan ang aming mga gumagamit.
Sa kabila ng napakababang aktwal na peligro, nagpasya kaming alisin ang pagpipiliang $ muling pagsulat. Samakatuwid, ilalabas namin ang isang na-update na bersyon ng Adblock Plus sa lalong madaling panahon ayon sa teknikal na posible.
Ginagawa namin ito bilang pag-iingat. Walang pagtatangkang ginawa upang maling gamitin ang pagpipiliang muling pagsulat at gagawin namin ang aming makakaya upang maiwasan na mangyari ito.
Nangangahulugan ito na walang banta sa anumang gumagamit ng Adblock Plus.
Ang DAng mga developer ng Adblock Plus ay isinasaalang-alang ang mga aktwal na pag-atake na malamang na hindi, dahil ang lahat ng mga pagbabago sa regular na mga listahan ng panuntunan ay nasusuri at ang koneksyon ng mga listahan ng third-party ay bihirang ginagawa ng mga gumagamit.
Ang pagpapalit ng panuntunan sa pamamagitan ng MITM ay nag-aalis ng paggamit ng HTTPS bilang default upang mai-load ang regular na mga listahan ng block (para sa natitirang mga listahan pinaplano na ipagbawal ang pag-download ng HTTP sa isang hinaharap na paglabas).
Upang harangan ang mga pag-atake sa gilid ng mga site, Maaaring mailapat ang mga direktiba ng CSP (Patakaran sa Seguridad sa Nilalaman), kung saan maaari mong malinaw na makilala ang mga host kung saan maaaring mai-load ang mga panlabas na mapagkukunan.
Fuente: https://adblockplus.org, https://armin.dev