Web Sitesi Optimize Edici'de güvenlik sorunu

website_optimizer_logo_smGoogle optimizasyon ile uğraşanlar için Google yeni bir güvenlik duyurusu yayınlandı. Direkt olarak Google'dan gelen mail dökümanını aşağıda yayınlıyorum. Gerekli düzeltmeleri örneklerle göstermektedir.

Sayın Web Sitesi Optimize Edici kullanıcısı,

Web Sitesi Optimize Edici ile ilgili potansiyel bir güvenlik sorununu bilginize sunmak istiyoruz. Web Sitesi Optimize Edici Kontrol Komut Dosyasındaki bir güvenlik açığından yararlanan kötü niyetli kişiler, Çapraz Site Kodlaması (Cross-Site Scripting - XSS) saldırısıyla sitenizde zararlı kod çalıştırabilir. Bu saldırı, yalnızca bir web sitesi veya tarayıcının güvenliği başka bir saldırıyla zaten zayıflatılmışsa gerçekleştirilebilir. Bu saldırının hemen gerçekleşme olasılığı düşüktür, ancak sitenizi korumak için mutlaka önlem almanızı öneririz.

Sorun tarafımızca giderilmiştir ve tüm yeni denemeler güvenle yürütülebilir. Ancak, sitenizdeki güvenlik açığını gidermek için, şu anda yürütmekte olduğunuz tüm denemelerin güncellenmesi gerekmektedir. Buna ek olarak, 3 Aralık 2010'dan önce oluşturduğunuz denemeler arasında duraklatılmış veya durdurulmuş olanlara ait Web Sitesi Optimize Edici komut dosyalarınız varsa, bunların kodunu da silmeniz veya güncellemeniz gerekmektedir.

Kodunuzu güncellemenin iki yolu vardır. Halen çalışmakta olan denemeleri durdurup eski komut dosyalarını silebilir ve yeni bir deneme oluşturabilirsiniz veya kodu doğrudan sitenizde güncelleyebilirsiniz. Daha basit olan yeni bir deneme oluşturma yöntemini kullanmanızı önemle öneririz.

Yeni bir Deneme Oluşturma

1. Şu anda yürütülmekte olan tüm Web Sitesi Optimize Edici denemelerini durdurun

2. Sitenizden tüm Web Sitesi Optimize Edici komut dosyalarını kaldırın

3. Her zaman yaptığınız şekilde yeni bir deneme oluşturun. Yeni denemelerde güvenlik sorunu söz konusu değildir.

Web Sitesi Optimize Edici Kontrol Komut Dosyasını Doğrudan Güncelleme

1. Kontrol Komut Dosyasını sitenizde bulun. Şöyle görünür:

A/B Test Kontrol Komut Dosyası

<!-- Google Website Optimizer Control Script -->

<script>

function utmx_section(){}function utmx(){}

(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){

if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.

length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;

d.write('<sc'+'ript src="'+

'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'

+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='

+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+

'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();

</script><script>utmx("url",'A/B');</script>

<!-- End of Google Website Optimizer Control Script -->

Çok Değişkenli Test Kontrol Komut Dosyası

<!-- Google Website Optimizer Control Script -->

<script>

function utmx_section(){}function utmx(){}

(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){

if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.

length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;

d.write('<sc'+'ript src="'+

'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'

+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='

+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+

'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();

</script>

<!-- End of Google Website Optimizer Control Script -->

2. Kontrol Komut Dosyasında şunu bulun: return c.substring(...

3. Aşağıdaki satırı gösterildiği şekilde değiştirin:

DÜZELTİLMEDEN ÖNCE: return c.substring(i+n.length+1,j<0?c.length:j)

DÜZELTİLDİKTEN SONRA: return escape(c.substring(i+n.length+1,j<0?c.length:j))

Sondaki ")" kapanış parantezini eklemeyi unutmayın.

Düzeltilmiş A/B Test Kontrol Komut Dosyası

<!-- Google Website Optimizer Control Script -->

<script>

function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);

return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}

var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+

'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'

+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='

+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+

'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();

</script><script>utmx("url",'A/B');

</script>

<!-- End of Google Website Optimizer Control Script -->

Düzeltilmiş Çok Değişkenli Test Kontrol Komut Dosyası

<!-- Google Website Optimizer Control Script -->

<script>

function utmx_section(){}function utmx(){}

(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){

if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);

return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}

var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+

'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'

+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='

+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+

'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();

</script>

<!-- End of Google Website Optimizer Control Script -->

Yukarıdaki Kontrol Komut Dosyası örneklerindeki k=XXXXXXXXX satırının bir yer tutucu olduğuna dikkat edin.

Bu güncellemeyi yaptıktan sonra denemeniz normal şekilde çalışmaya devam edecektir. Denemeyi duraklatmaya veya yeniden başlatmaya gerek yoktur.

Web Sitesi Optimize Edici'yi güvenli durumda tutmaya kararlıyız ve bu sorun için gerçekten üzgünüz. İleride güvenlik sorunlarının ortaya çıkmasını önlemek için gereken tüm çabayı göstermeye devam edeceğiz.

Saygılarımızla,

Trevor

Google Web Sitesi Optimize Edici Ekibi

E-posta Tercihleri: Bu zorunlu e-posta hizmet duyurusu, Google Web Sitesi Optimize Edici ürününüzdeki veya hesabınızdaki önemli değişiklikleri bildirmek için gönderilmiştir.

Telif Hakkı 2010. Google, Google Inc'in bir ticari markasıdır. Tüm diğer şirket ve ürün adları ilişkili oldukları ilgili şirketlerin ticari markaları olabilir.

Tags: function{varbirwebsitesiindexofoptimizeediciyenikomutgüvenlikd=documentxxxxxxxxxxl=dlocationc=dutmx_sectiontümi+nkontrol
TOP

Kıbrıs web Tasarım