Выпуск uBlock Origin 1.25 с защитой от обхода блокировки через манипуляции с DNS

Доступен новый выпуск блокировщика нежелательного контента uBlock Origin 1.25, обеспечивающего блокирование рекламы, вредоносных элементов, кода для отслеживания перемещения, JavaScript-майнеров и других мешающих нормальной работе элементов. Дополнение uBlock Origin отличается высокой производительностью и экономным расходованием памяти, и позволяет не только избавиться от назойливых элементов, но и сократить потребление ресурсов и ускорить загрузку страниц.

В новой версии для пользователей Firefox обеспечена блокировка новой техники отслеживания перемещений и подстановки рекламных блоков, основанной на создании в DNS отдельного поддомена в рамках домена текущего сайта. Создаваемый поддомен ссылается на сервер рекламной сети (например, создаётся CNAME-запись f7ds.liberation.fr, указывающая на сервер трекинга liberation.eulerian.net), поэтому рекламный код формально загружается с того же первичного домена, что и сайт. Имя для поддомена выбирается в форме случайного идентификатора, что затрудняет блокировку по маске, так как связываемый с рекламной сетью поддомен трудно отличить от поддоменов для загрузки других локальных ресурсов страницы.

В новой версии uBlock Origin для определения связанного через CNAME хоста добавлен вызов для резолвинга имени в DNS, что позволяет применить списки блокировки и для имён, перенаправляемых через CNAME. С точки зрения производительности определение CNAME не должно привести к появлению дополнительных накладных расходов, кроме трат процессорных ресурсов на повторное применение правил для другого имени, так как при обращении к ресурсу браузер уже выполнил резолвинг, и значение должно быть прокешировано. При установке новой версии потребуется предоставить полномочия для получения сведений из DNS.

Добавленный метод защиты на основе проверки CNAME может быть обойдён при помощи прямой привязки имени к IP без использования CNAME, но такой подход усложняет сопровождение и поддержание инфраструктуры (в случае смены IP-адреса рекламной сети нужно будет добиться изменения данных на всех DNS-серверах издателей) и может быть обойдён через создание чёрного списка IP-адресов трекеров. В сборке uBlock Origin для Chrome проверка CNAME не работает, так как API dns.resolve() доступен только для дополнений в Firefox и не поддерживается в Chrome.

Источник: http://www.opennet.ru/opennews/art.shtml?num=52438