Google 网站优化工具中的安全问题

      诸葛草帽今天收到google的一封邮件,是关于Google 网站优化工具中的安全问题的,各位站长小心了,以下是原文转录。

google

尊敬的 Google 网站优化工具用户,您好!

谨在此通知您,Google 网站优化工具存在一项潜在安全问题。通过利用 Google 网站优化工具控制脚本的一个漏洞,攻击者可能会使用跨站脚本(Cross-Site Scripting,XSS)攻击的方式在您的网站上执行恶意代码。不过,只有在网站或浏览器已经受到其他独立攻击的威胁时,跨站脚本攻击才会发生。尽管直接遭受此类攻击的可能性不大,不过我们强烈建议您采取行动保护您的网站。

我们已经修复了这一错误,所有新实验都不会受到此类不良影响。不过,您需要更新您当前运行的所有实验,以修复您网站上的这一错误。另外,如果您已暂停或停止的实验是创建于 2010 年 12 月 3 日之前,您也需要删除或更新与其相关的所有 Google 网站优化工具脚本代码。

更新代码的方法有两种。您可以停止当前的实验,删除旧脚本,然后创建新实验;也可以直接在您的网站上更新代码。您最好创建新实验,因为这种方法比较简单。

创建新实验

  1. 停止当前运行的所有 Google 网站优化工具实验
  2. 从您的网站中删除所有 Google 网站优化工具脚本
  3. 按照常规操作创建新实验,新实验不易受到攻击

 

直接更新 Google 网站优化工具控制脚本

  1. 在网站上找到控制脚本。此脚本如下所示:

 

A/B 测试控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->

 

 

多版本测试控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

 

  1. 在控制脚本中找到 return c.substring(...
  2. 按照如下所示修改相应行:
    修改前: return c.substring(i+n.length+1,j<0?c.length:j)
    修改后: return escape(c.substring(i+n.length+1,j<0?c.length:j))
    请不要忘记末尾的右圆括号 ")"

     

 

修复的 A/B 控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->

 

修复的多版本控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

请注意,以上控制脚本示例中的 k=XXXXXXXXX 行是占位符。

在进行上述更新后,您的实验将继续照常运行,您无需暂停或重新开始实验。

我们始终致力于保证 Google 网站优化工具的安全。对于这一安全问题,我们深表歉意。我们将一如既往地努力工作,防止日后再次出现漏洞。


此致
Trevor
Google 网站优化工具小组

Write a comment

Comments: 3
  • #1

    wholesale (Wednesday, 08 December 2010 11:33)

    早上刚收到,没想到google还有这种问题

  • #2

    诸葛草帽 (Sunday, 12 December 2010 08:32)

    回复wholesale:是啊,但是修复还算是及时

  • #3

    六六八高清电影网 (Friday, 28 January 2011 14:48)

    六六八免费高清电影网站 http://www.668com.com 世界最大的免费高清电影视频网站在线播放下载快播皮皮迅播播放电影网 . 六六八高清电影网(668com.com)是最具价值的网络视频播放平台;是国内专注于提供免费、高清网络视频服务的大型专业网站。六六八影视内容丰富多元,涵盖国内外台湾香港等地区的电影、电视剧、综艺、纪录片、动画片等热门剧目;视频播放清晰流畅,操作界面简单友好,真正为用户带来“悦享品质”的观映体验。