התגלתה פרצת אבטחה ב- Google Website Optimizer

אלכס צ'רנורודסקי

הבוקר קילבתי מייל מגוגל לגבי Google Website Optimizer. עצם שליחת המייל הזה הינו דבר מפתיע מאוד, עד כדי כך שחשבתי שזהו ניסיון פישינג או מה לא… מסתבר שלא, עוד כמה אנשים קיבלו את זה, ובאינטרנט החלו צצות להן ידיעות על הדבר.

במייל גיליתי שישנה פרצת אבטחה בכלי המאפשרת לפורצי אתרים לנצל חולשה של סקריפט המוטמע באתר/עמוד הביקורת, מולו בודקים את הגרסאות השונות, כדי להריץ קודים או סקריפטים פוגעניים באתר שלי.

נראה כי גוגל תיקנו את הפרצה ב- 3 לדצמבר. מה שאומר שכל ניסוי חדש לא מכיל את הפרצה, אבל ניסויים שרצים שהחלו לפני תאריך זה, או ניסויים שעצורים כרגע, עדיין מכילים את הפרצה.

במייל, גוגל מסבירים כיצד ניתן לתקן את הקוד כדי לסגור את הפרצה. לא קשה במיוחד ולא צריך לעצור את הניסוי.

להלן הסבר כיצד לתקן את הפרצה

1. אתרו את סקריפט השליטה באתר שלכם. ככה הוא נראה עבור כל אחד מסוגי הניסויים:

הסקריפט של ניסוי A/B:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);</script>
<!– End of Google Website Optimizer Control Script –>

הסקריפט של ניסוי Multivariate:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>

2. אתרו בכל אחד מהסקריפטים את השורה הבאה:

return c.substring(…

3. תקנו את השורה הזו באופן הבא:

לפני: return c.substring(i+n.length+1,j<0?c.length:j)
אחרי: return escape(c.substring(i+n.length+1,j<0?c.length:j))

אל תשכחו להוסיף בסוף הקוד החדש את הסוגר “(“.

4. החליפו את הסקריפט של כל אחד מהניסויים לסקריפטים הבאים:

הסקריפט המתוקן של ניסוי A/B:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){} (function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);
</script>
<!– End of Google Website Optimizer Control Script –>

הסקריפט המתוקן של ניסוי Multivariate:

<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>

שימו לב כי צריך למלא את המספרים שלכם באזור הזה בכל אחד מהסקריפטים המתוקנים: k=XXXXXXXXX

הניסוי שלכם ימשיך לעבוד כרגיל לאחר שתבצעו את העדכון, אין צורך לעשות עליו Pause או להתחילו מחדש (Restart).

שתפו:
נכתב על ידי
אלכס צ’רנורודסקי אוכל SEM לארוחת בוקר ומחזיק זוג זחלני גוגל כחיות מחמד. כאפילייט ומנהל קידום ממומן בחברת השיווק האינטרנטי המובילה בארץ, אלכס צבר ניסיון רב והתמחות בקידום ממומן, אופטימיזציית עמודי נחיתה, ניתוח מגמות והתנהגות גולשים. בעל נגיעה בכל מה שחם בתחום, אלכס משתף וחולק מידע כאן בבלוג ובאתר GoAlex.co.il
0 0 הצבעות
קלות השימוש
0 0 הצבעות
פיצ'רים ופונקציונליות
0 0 הצבעות
תמיכה טכנית
0 0 הצבעות
תמורה לכסף
הרשמו
הודע על
guest

0 תגובות
פידבקים מוטבעים
צפייה בכל התגובות
עומר לייבנזון
39
פרסום באינטרנט
עומר לייבנזון
112
ניהול קהילה
עומר לייבנזון
136
קידום אתרים
עומר לייבנזון
122
מדיה חברתית
יורם ליכטנשטיין
105753
תוכן וקופירייטינג
דוד כהן
100442
מדיה חברתית
דנה רוזן
82554
ניהול קהילה
נשארים מעודכנים בכל מה שחדש בדיגיטל

מעל 15,000 אנשי שיווק ובעלי עסקים נשארים מעודכנים בכל מה שחדש בשיווק דיגיטלי מאז 2007

0
נשמח לשמוע את דעתך, נודה לתגובהx
שיווק דיגיטלי שמביא תוצאות.
לוגו דייסון

189%

יחס המרה למודעות

לוגו איסתא

424%

הכנסות מהאתר

לוגו קפה עלית

139%

מבקרים חדשים באתר

לוגו נקסט

258%

רכישות אורגניות

לוגו קפה עלית
139%

מבקרים חדשים

לוגו דייסון
189%

יחס המרה למודעות

לוגו איסתא
424%

הכנסות מהאתר

שיווק דיגיטלי שמביא תוצאות.