Web Sitesi Optimize Edici'de güvenlik sorunu

Sayın Web Sitesi Optimize Edici kullanıcısı,

Web Sitesi Optimize Edici ile ilgili potansiyel bir güvenlik sorununu bilginize sunmak istiyoruz. Web Sitesi Optimize Edici Kontrol Komut Dosyasındaki bir güvenlik açığından yararlanan kötü niyetli kişiler, Çapraz Site Kodlaması (Cross-Site Scripting - XSS) saldırısıyla sitenizde zararlı kod çalıştırabilir. Bu saldırı, yalnızca bir web sitesi veya tarayıcının güvenliği başka bir saldırıyla zaten zayıflatılmışsa gerçekleştirilebilir. Bu saldırının hemen gerçekleşme olasılığı düşüktür, ancak sitenizi korumak için mutlaka önlem almanızı öneririz.

Sorun tarafımızca giderilmiştir ve tüm yeni denemeler güvenle yürütülebilir. Ancak, sitenizdeki güvenlik açığını gidermek için, şu anda yürütmekte olduğunuz tüm denemelerin güncellenmesi gerekmektedir. Buna ek olarak, 3 Aralık 2010'dan önce oluşturduğunuz denemeler arasında duraklatılmış veya durdurulmuş olanlara ait Web Sitesi Optimize Edici komut dosyalarınız varsa, bunların kodunu da silmeniz veya güncellemeniz gerekmektedir.

Kodunuzu güncellemenin iki yolu vardır. Halen çalışmakta olan denemeleri durdurup eski komut dosyalarını silebilir ve yeni bir deneme oluşturabilirsiniz veya kodu doğrudan sitenizde güncelleyebilirsiniz. Daha basit olan yeni bir deneme oluşturma yöntemini kullanmanızı önemle öneririz.

Yeni bir Deneme Oluşturma
Şu anda yürütülmekte olan tüm Web Sitesi Optimize Edici denemelerini durdurun
Sitenizden tüm Web Sitesi Optimize Edici komut dosyalarını kaldırın
Her zaman yaptığınız şekilde yeni bir deneme oluşturun. Yeni denemelerde güvenlik sorunu söz konusu değildir.


Web Sitesi Optimize Edici Kontrol Komut Dosyasını Doğrudan Güncelleme
Kontrol Komut Dosyasını sitenizde bulun. Şöyle görünür:

A/B Test Kontrol Komut Dosyası
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f{
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->

Çok Değişkenli Test Kontrol Komut Dosyası
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f{
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

Kontrol Komut Dosyasında şunu bulun: return c.substring(...
Aşağıdaki satırı gösterildiği şekilde değiştirin:
DÜZELTİLMEDEN ÖNCE: return c.substring(i+n.length+1,j<0?c.length:j)
DÜZELTİLDİKTEN SONRA: return escape(c.substring(i+n.length+1,j<0?c.length:j))
Sondaki ")" kapanış parantezini eklemeyi unutmayın.

Düzeltilmiş A/B Test Kontrol Komut Dosyası
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f{ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->


Düzeltilmiş Çok Değişkenli Test Kontrol Komut Dosyası
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f{
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

Yukarıdaki Kontrol Komut Dosyası örneklerindeki k=XXXXXXXXX satırının bir yer tutucu olduğuna dikkat edin.

Bu güncellemeyi yaptıktan sonra denemeniz normal şekilde çalışmaya devam edecektir. Denemeyi duraklatmaya veya yeniden başlatmaya gerek yoktur.

Web Sitesi Optimize Edici'yi güvenli durumda tutmaya kararlıyız ve bu sorun için gerçekten üzgünüz. İleride güvenlik sorunlarının ortaya çıkmasını önlemek için gereken tüm çabayı göstermeye devam edeceğiz.


Saygılarımızla,
Trevor
Google Web Sitesi Optimize Edici Ekibi

Genişletmek için tıkla ...