Téma: Biztonsági probléma a Google Webhely-optimalizálóban

"Tisztelt Google Webhely-optimalizáló felhasználó!

Azért írunk Önnek, mert fel szeretnénk hívni a figyelmét egy, a Google Webhely-optimalizálóval kapcsolatos potenciális biztonsági problémára. A Google Webhely-optimalizáló vezérlőszkriptjének egy biztonsági rése folytán egy esetleges támadó webhelyeken átívelő szkriptelésen (Cross-Site Scripting -- XSS) alapuló támadást tud végrehajtani az Ön webhelyén. Ilyen támadásra csak akkor kerülhet sor, ha egy webhelyet vagy böngészőt már korábban ért egy különálló támadás. Bár az ilyen támadás azonnali valószínűsége csekély, kérjük, a webhelye védelme érdekében haladéktalanul végezze el a szükséges frissítést.

A hibát kijavítottuk, és az új kísérleteknél már nem áll fenn a támadás veszélye. A jelenleg futtatott kísérleteket azonban frissítenie kell a webhelyén található hiba kiküszöbölése érdekében. Továbbá, ha van olyan, jelenleg szüneteltetett vagy leállított kísérlete, amelyet 2010. december 3. előtt hozott létre, akkor annak/azoknak a kódját is frissítenie kell vagy el kell távolítania.

A kód kétféleképpen frissíthető. Vagy állítsa le az aktuálisan futó kísérleteket, távolítsa el a régi szkripteket, majd hozzon létre új kísérletet, vagy frissítse a kódot közvetlenül a webhelyén. Javasoljuk, hogy inkább új kísérletet hozzon létre, ez ugyanis egy jóval egyszerűbb módszer.

Új kísérlet létrehozása

Állítson le minden jelenleg futó Webhely-optimalizáló kísérletet
Távolítsa el webhelyéről az összes Google Webhely-optimalizáló szkriptet.
Hozzon létre egy új kísérletet a megszokottak szerint. Az új kísérletek nem sebezhetők.
A Google Webhely-optimalizáló vezérlőszkript közvetlen frissítése
Keresse ki a vezérlőszkriptet webhelyén. A vezérlőszkript az alábbihoz hasonló:
A/B teszt vezérlőszkript
<!-- Google Website Optimizer Control Script -->
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie; function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utm xx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1 )):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->
Többváltozós teszt vezérlőszkript
<!-- Google Website Optimizer Control Script -->
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie; function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utm xx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1 )):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->
Keresse ki a következő vezérlőszkriptet: return c.substring(...
Módosítsa a következő sort a jelzett módon:
ELŐTTE: return c.substring(i+n.length+1,j<0?c.length:j)
JAVÍTOTT: return escape(c.substring(i+n.length+1,j<0?c.length:j))
Ne felejtse el szerepeltetni a befejező zárójeleket ")"
Rögzített A/B vezérlőszkript
<!-- Google Website Optimizer Control Script -->
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie; function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}} }
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utm xx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1 )):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->
Rögzített többváltozós vezérlőszkript
<!-- Google Website Optimizer Control Script -->
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie; function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}} }
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utm xx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1 )):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

Ügyeljen rá, hogy a vezérlőszkript fenti példáiban a k=XXXXXXXXX sor csupán helyőrző.

A kísérlet a frissítést követően rendeltetésszerűen folytatódni fog. Nincs szükség a kísérlet szüneteltetésére vagy újraindítására.

Elkötelezettek vagyunk a Webhely-optimalizáló biztonságos működésének a biztosítása mellett, és szívből sajnáljuk ezt a problémát. A jövőben is megfeszítetten fogunk dolgozni a további biztonsági rések megelőzése érdekében.


Üdvözlettel,
Trevor
A Google Webhely-optimalizáló csapata"

---

Hasonló témák:

• google indexelési probléma
• Biztonsági Bejárati Ajtó
• A biztonsági mentés a weboldalról
• Google "Webhely"
• WordPress biztonsági rés

Még jó hogy ilyet nem használok..... de minek is ez???????

Ez mehetett volna A legújabb Google hír topicba szerintem. Angolul már be volt téve, egy magyar fordítás elkéne esetleg: http://seo.forum.hu/google-f6/a-legu...83/seo127.html