X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость ( Вход | Регистрация )

Открыть тему
Тема закрыта
> Проблема безопасности в Оптимизаторе веб-сайтов
centurion
centurion
Topic Starter сообщение 13.12.2010, 2:02; Ответить: centurion
Сообщение #1


Топовый постер
*******


Группа: Active User
Сообщений: 2831
Регистрация: 10.12.2007
Из: aceweb
Поблагодарили: 1349 раз
Репутация:   308  


Получил письмо под заголовком "Проблема безопасности в Оптимизаторе веб-сайтов"
Ниже приведу весь текст письма в цитате.

Уважаемый пользователь Оптимизатора веб-сайтов!

Сообщаем о потенциальной проблеме безопасности в Оптимизаторе веб-сайтов. Используя уязвимость в скрипте управления Оптимизатора веб-сайтов, злоумышленник может запустить на Вашем сайте вредоносный код путем атаки XSS (межсайтового скриптинга). Такую атаку можно провести, только если веб-сайт или браузер уже был взломан до этого. Хотя вероятность такой атаки в данный момент невелика, настоятельно рекомендуем Вам принять меры по защите своего сайта.

Мы уже устранили эту уязвимость, и новые эксперименты не подвергаются риску. Однако все текущие эксперименты необходимо обновить, чтобы устранить уязвимость на сайте. Кроме того, если какие-либо скрипты Оптимизатора веб-сайтов из приостановленных или прекращенных экспериментов были созданы до 3 декабря 2010 г., Вам также нужно будет удалить или обновить этот код.

Обновить код можно двумя способами. Первый: остановить текущие эксперименты, удалить старые скрипты и создать новый эксперимент. Второй: обновить код непосредственно на веб-сайте. Мы настоятельно рекомендуем Вам создать новый эксперимент, так как этот метод гораздо проще.

Создание нового эксперимента

1. Остановите все текущие эксперименты Оптимизатора веб-сайтов.
2. Удалите с сайта все скрипты Оптимизатора веб-сайтов.
3. Создайте новый эксперимент обычным способом. Новые эксперименты не подвергаются риску атаки.

Обновление скрипта управления Оптимизатора веб-сайтов непосредственно на веб-сайте

1. Найдите на своем сайте скрипт управления. Он выглядит примерно так:

Скрипт управления для тестирования А/Б
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if©{var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->

Скрипт управления для многовариантного тестирования
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if©{var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

1. Найдите следующий код в скрипте управления: return c.substring(...
2. Измените эту строку следующим образом:
СТАРЫЙ КОД: return c.substring(i+n.length+1,j
ИСПРАВЛЕННЫЙ КОД: return escape(c.substring(i+n.length+1,j)


Не забудьте поставить в конце закрывающую кавычку: ")".

Исправленный скрипт управления для тестирования А/Б
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if©{var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->

Исправленный скрипт управления для многовариантного тестирования
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if©{var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

Обратите внимание, что строка k=XXXXXXXXX над примерами скрипта управления представляет собой замещающую метку.

После этого обновления эксперимент продолжится, как обычно. Нет никакой необходимости приостанавливать его и снова запускать.

Мы стремимся обеспечить безопасную работу с Оптимизатором веб-сайтов и глубоко сожалеем, что Вам пришлось столкнуться с этой проблемой. Мы приложим все усилия для профилактики подобных уязвимостей в будущем.


С уважением,
Тревор,
специалист команды Оптимизатора веб-сайтов
---------------------------------------------------
Настройки рассылки. Это служебное электронное уведомление рассылается в обязательном порядке и информирует о важных изменениях в Оптимизаторе веб-сайтов Google или Вашем аккаунте.

© Google, 2010. Google является товарным знаком компании Google Inc. Все другие названия компаний и продуктов могут являться товарными знаками соответствующих компаний.


Чё это за ё-маё такое? popcorn1.gif
Под ночь уже мозг не охота напрягать сильно.
Кто-нибудь подобное получал? Письмо пришло с мыла websiteoptimizer-noreply@google.com


Поблагодарили: (1)
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Fallup
Fallup
сообщение 13.12.2010, 2:06; Ответить: Fallup
Сообщение #2


Добрый пёс
******


Группа: Active User
Сообщений: 2372
Регистрация: 15.12.2009
Из: мамы
Поблагодарили: 1065 раз
Репутация:   119  


Что-то гугл частенько стал лажать в последнее время.
То флаг, то брат польского президента, то XSS в своем сервисе.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Darkrain
Darkrain
сообщение 13.12.2010, 12:12; Ответить: Darkrain
Сообщение #3


Бывалый
****

Группа: User
Сообщений: 384
Регистрация: 27.4.2009
Из: Казахстан
Поблагодарили: 64 раза
Репутация:   22  


Я такого не получал. Но, скиньте больше данных об отправителе.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
KartingProfi17
KartingProfi17
сообщение 14.12.2010, 17:03; Ответить: KartingProfi17
Сообщение #4


Участник
***

Группа: User
Сообщений: 127
Регистрация: 2.8.2010
Из: Москва
Поблагодарили: 25 раз
Репутация:   4  


centurion, пришло такое же пару недель назад к одному из моих заказчиков. Я распечатал, поехал в поле, в присутствии двух свидетелей сжёг распечатку, размял остатки и развеял по ветру. Всё как по уставу.


--------------------
May The Force Be With You!
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
StAlKeR-xXl
StAlKeR-xXl
сообщение 14.12.2010, 17:12; Ответить: StAlKeR-xXl
Сообщение #5


Завсегдатай
*****

Группа: Active User
Сообщений: 652
Регистрация: 14.8.2009
Из: Донецк
Поблагодарили: 167 раз
Репутация:   43  


заголовок письма точно просмотрите... уверен, что обратный адрес- фейковый..

ну как я и говорил.. фейковый..
Please, do not reply to this message.


<websiteoptimizer-noreply@google.com>: host
google.com.s9a1.psmtp.com[74.125.148.10] said: 550 5.2.1
<websiteoptimizer-noreply@google.com>... Mailbox disabled for this
recipient (in reply to RCPT TO command)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
nikolaev1977
nikolaev1977
сообщение 31.1.2011, 14:55; Ответить: nikolaev1977
Сообщение #6


Новичок
*


Группа: User
Сообщений: 16
Регистрация: 30.1.2011
Поблагодарили: 2 раза
Репутация:   -1  


Фэйки! Недавно на подобное натыкался... Советую провести проверку на вирусы разными антивирусами)

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Горячая тема (нет новых ответов) Проверка позиций сайтов в поисковых системах с помощью Positon.ru
Мониторинг продвижения сайтов
117 Positon 86982 Сегодня, 19:44
автор: Positon
Открытая тема (нет новых ответов) Создание сайтов / Web Studio Avram Lincoln
23 AvramLincoln 3279 Сегодня, 15:24
автор: AvramLincoln
Горячая тема (нет новых ответов) Аудит сайтов
Предлагаю комплексный СЕО аудит
55 genjnat 17026 Вчера, 19:35
автор: genjnat
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыКачественный прогон Хрумером всего 6 WMZ. Пачки сайтов от 3 WMZ
Большой опыт роботы. Прогон пачок. Комментарии, профиля, гостевые
163 effovenon 82322 Вчера, 17:49
автор: kirch
Открытая тема (нет новых ответов) Нескольо сайтов 1 компании на одном хосте, плохо/нет ?
11 Goremika 1314 Вчера, 1:59
автор: Goremika


 



RSS Текстовая версия Сейчас: 21.5.2018, 21:37
Дизайн