התגלתה פרצת אבטחה ב- Google Website Optimizer

אלכס צ'רנורודסקי

הבוקר קילבתי מייל מגוגל לגבי Google Website Optimizer. עצם שליחת המייל הזה הינו דבר מפתיע מאוד, עד כדי כך שחשבתי שזהו ניסיון פישינג או מה לא… מסתבר שלא, עוד כמה אנשים קיבלו את זה, ובאינטרנט החלו צצות להן ידיעות על הדבר.

במייל גיליתי שישנה פרצת אבטחה בכלי המאפשרת לפורצי אתרים לנצל חולשה של סקריפט המוטמע באתר/עמוד הביקורת, מולו בודקים את הגרסאות השונות, כדי להריץ קודים או סקריפטים פוגעניים באתר שלי.

נראה כי גוגל תיקנו את הפרצה ב- 3 לדצמבר. מה שאומר שכל ניסוי חדש לא מכיל את הפרצה, אבל ניסויים שרצים שהחלו לפני תאריך זה, או ניסויים שעצורים כרגע, עדיין מכילים את הפרצה.

במייל, גוגל מסבירים כיצד ניתן לתקן את הקוד כדי לסגור את הפרצה. לא קשה במיוחד ולא צריך לעצור את הניסוי.

להלן הסבר כיצד לתקן את הפרצה

1. אתרו את סקריפט השליטה באתר שלכם. ככה הוא נראה עבור כל אחד מסוגי הניסויים:

הסקריפט של ניסוי A/B:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);</script>
<!– End of Google Website Optimizer Control Script –>

הסקריפט של ניסוי Multivariate:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>

2. אתרו בכל אחד מהסקריפטים את השורה הבאה:

return c.substring(…

3. תקנו את השורה הזו באופן הבא:

לפני: return c.substring(i+n.length+1,j<0?c.length:j)
אחרי: return escape(c.substring(i+n.length+1,j<0?c.length:j))

אל תשכחו להוסיף בסוף הקוד החדש את הסוגר “(“.

4. החליפו את הסקריפט של כל אחד מהניסויים לסקריפטים הבאים:

הסקריפט המתוקן של ניסוי A/B:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){} (function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);
</script>
<!– End of Google Website Optimizer Control Script –>

הסקריפט המתוקן של ניסוי Multivariate:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>

שימו לב כי צריך למלא את המספרים שלכם באזור הזה בכל אחד מהסקריפטים המתוקנים: k=XXXXXXXXX

הניסוי שלכם ימשיך לעבוד כרגיל לאחר שתבצעו את העדכון, אין צורך לעשות עליו Pause או להתחילו מחדש (Restart).

שתפו:
שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email
נכתב על ידי
אלכס צ’רנורודסקי אוכל SEM לארוחת בוקר ומחזיק זוג זחלני גוגל כחיות מחמד. כאפילייט ומנהל קידום ממומן בחברת השיווק האינטרנטי המובילה בארץ, אלכס צבר ניסיון רב והתמחות בקידום ממומן, אופטימיזציית עמודי נחיתה, ניתוח מגמות והתנהגות גולשים. בעל נגיעה בכל מה שחם בתחום, אלכס משתף וחולק מידע כאן בבלוג ובאתר GoAlex.co.il
0 0 הצבעה
קלות השימוש
0 0 הצבעה
פיצ'רים ופונקציונליות
0 0 הצבעה
תמיכה טכנית
0 0 הצבעה
תמורה לכסף
הרשמו
הודע על
guest
0 תגובות
פידבקים מוטבעים
צפייה בכל התגובות
שי משען
89612
פרסום באינטרנט
יורם ליכטנשטיין
88207
תוכן וקופירייטינג
דוד כהן
87926
מדיה חברתית
דפנה בן יהושע
66848
קידום אתרים
ירון אחר
64977
שיווק דיגיטלי
מיטל אור
18
מדיה חברתית
יורם ליכטנשטיין
94
שיווק דיגיטלי
מיטל אור
68
מדיה חברתית
מיטל אור
52
קידום אתרים
מיטל אור
50
קידום אתרים
לא חבל לפספס?

קהילה של +15,000 מקצוענים כמוך נהנים לקבל מאיתנו טיפים עדכניים על קידום אתרים ושיווק באינטרנט, מדריכים מעמיקים, מקרי בוחן וכלים, היישר לתיבת המייל. רוצה להצטרף?

שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב whatsapp
שיתוף ב email
0
נשמח לשמוע את דעתך, נודה לתגובהx
()
x