Info Google Website Optimizer


Pengguna Website Optimizer yang Terhormat,

Kami menulis surat ini untuk menginformasikan tentang kemungkinan masalah keamanan dengan Website Optimizer. Dengan memanfaatkan kerentanan di Skrip Kontrol Website Optimizer, penyerang mungkin dapat mengeksekusi kode berbahaya di situs Anda menggunakan serangan Skrip Lintas-Situs (XSS). Serangan ini hanya dapat terjadi jika situs web atau peramban telah disusupi oleh serangan yang terpisah. Meskipun kemungkinan langsung penyerangan ini rendah, sebaiknya ambil tindakan sesegera mungkin.

Kami telah mengatasi bug dan semua eksperimen baru tidak mudah terpengaruh. Namun, eksperimen apa pun yang saat ini Anda jalankan harus diperbarui untuk mengatasi bug di situs Anda. Selain itu, jika Anda mempunyai skrip Website Optimizer apa pun yang berasal dari eksperimen yang dijeda atau yang dihentikan yang dibuat sebelum 3 Desember 2010, Anda juga harus menghapus atau memperbarui kode tersebut.

Ada dua cara untuk memperbarui kode. Anda dapat menghentikan eksperimen saat ini, menghapus skrip lama, dan membuat eksperimen baru, atau Anda dapat memperbarui kode di situs Anda secara langsung. Sebaiknya buat eksperimen baru karena ini adalah metode yang lebih mudah.

Membuat Eksperimen Baru

1. Hentikan eksperimen Website Optimizer apa pun yang saat ini sedang berjalan
2. Hapus semua skrip Website Optimizer dari situs Anda
3. Buat eksperimen baru seperti biasa. Eksperimen baru tidak mudah diserang.

Memperbarui Skrip Kontrol Website Optimizer Secara Langsung

1. Cari Skrip Kontrol di situs Anda. Skrip terlihat seperti ini:

Skrip Kontrol Pengujian A/B
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);</script>
<!– End of Google Website Optimizer Control Script –>

Skrip Kontrol Pengujian Multivariasi
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>

2. Cari skrip berikut ini dalam Skrip Kontrol: return c.substring(…
3. Modifikasi baris skrip berikut ini:
SEBELUM: return c.substring(i+n.length+1,j<0?c.length:j)
PERBAIKAN: return escape(c.substring(i+n.length+1,j<0?c.length:j))
Pastikan untuk menyertakan tanda kurung penutup )

Skrip Kontrol A/B yang Diperbaiki
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){} (function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);
</script>
<!– End of Google Website Optimizer Control Script –>

Skrip Kontrol Multivariasi yang Diperbaiki
<!– Google Website Optimizer Control Script –>

<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>

Perhatikan bahwa baris k=XXXXXXXXX pada contoh Skrip Kontrol di atas adalah pengganti.

Eksperimen Anda akan terus berjalan seperti biasa setelah Anda membuat pembaruan ini. Anda tidak perlu menjeda atau memulai kembali eksperimen.

Kami berkomitmen untuk menjaga keamanan Website Optimizer, dan kami sangat menyesal atas terjadinya masalah ini. Kami akan terus berusaha keras untuk mencegah kerentanan di masa mendatang.

Hormat kami,
Trevor
Tim Google Website Optimizer

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: