Google reconoce un problema de seguridad en el código de optimizador de sitios e informa a todos sus clientes

8 Replies

Google Adwords Noticias de Marketing Internet
Google Adwords

Google Adwords

Google reconoce un problema de seguridad en el código de optimizador de sitios e informa a todos sus clientes

Ayer recibí por parte de Google un mensaje informando de un problema de seguridad en el optimizador de sitios web. Este mensaje parece ser que lo han recibido todos los clientes que utilizan Google Adwords, aunque no tengan instalado el código en su sitio.
Después de consultar en el foro de Google, parece ser que hay cierta confusión por parte de los usuarios ya que no consiguen localizar este código, por que de hecho no lo tienen instalado. Así que, de momento, parece ser que no hay porque preocuparse, siempre que no tengas el código instalado.
A continuación os dejo el mensaje integro enviado por los responsables del departamento:
Problema de seguridad en el Optimizador de sitios web
Estimado usuario del Optimizador de sitios web:
Le escribimos para informarle de un posible problema de seguridad con el Optimizador de sitios web. Si se aprovecha una vulnerabilidad en la secuencia de comandos de control del Optimizador de sitios web, un atacante podría ejecutar código malicioso en su sitio mediante un ataque de secuencias de comandos entre sitios (XSS). Este ataque solo se puede llevar a cabo si un sitio web o un navegador ya está en peligro debido a otro ataque. Aunque la probabilidad inmediata de este ataque es baja, le recomendamos que adopte medidas para proteger su sitio.
Hemos corregido el error y todos los experimentos nuevos no están expuestos a la vulnerabilidad. No obstante, se deben actualizar los experimentos que está ejecutando actualmente para corregir el error en su sitio. Además, si tiene alguna secuencia de comandos del Optimizador de sitios web de experimentos en pausa o detenidos que se han creado antes del 3 de diciembre de 2010, también deberá suprimir o actualizar el código.
Hay dos formas de actualizar el código. Puede detener los experimentos actuales, suprimir las secuencias de comandos anteriores y crear un experimento nuevo, o bien puede actualizar el código en el sitio directamente. Le recomendamos que cree un experimento nuevo, ya que es el método más simple.
Creación de un experimento nuevo
1. Detenga los experimentos del Optimizador de sitios web que se estén ejecutando actualmente.
2. Suprima todas las secuencias de comandos del Optimizador de sitios web del sitio.
3. Cree un experimento nuevo de la forma habitual. Los experimentos nuevos no son vulnerables.
>Actualización directa de la secuencia de comandos de control del Optimizador de sitios web
1. Busque la secuencia de comandos de control en su sitio. Tiene el siguiente aspecto:

Secuencia de comandos de control de prueba A/B
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);</script>
<!– End of Google Website Optimizer Control Script –>
Secuencia de comandos de control de prueba multivariable
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash;
d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>
1. Busque lo siguiente en la secuencia de comandos de control: return c.substring(…
2. Modifique la siguiente línea tal como se muestra a continuación:
ANTES: return c.substring(i+n.length+1,j<0?c.length:j)
CORREGIDO: return escape(c.substring(i+n.length+1,j<0?c.length:j))
Asegúrese de incluir el paréntesis de cierre final “)”
Secuencia de comandos de control A/B corregida
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){} (function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
‘http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
‘” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script><script>utmx(“url”,’A/B’);
</script>
<!– End of Google Website Optimizer Control Script –>
Secuencia de comandos de control multivariable corregida
<!– Google Website Optimizer Control Script –>
<script>
function utmx_section(){}function utmx(){}
(function(){var k=’XXXXXXXXXX’,d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+’=’);if(i>-1){var j=c.indexOf(‘;’,i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f(‘__utmx’),xx=f(‘__utmxx’),h=l.hash; d.write(‘<sc’+’ript src=”‘+
’http’+(l.protocol==’https:’?’s://ssl’:’://www’)+’.google-analytics.com’
+’/siteopt.js?v=1&utmxkey=’+k+’&utmx=’+(x?x:”)+’&utmxx=’+(xx?xx:”)+’&utmxtime=’
+new Date().valueOf()+(h?’&utmxhash=’+escape(h.substr(1)):”)+
'” type=”text/javascript” charset=”utf-8″></sc’+’ript>’)})();
</script>
<!– End of Google Website Optimizer Control Script –>
Observe que la línea k=XXXXXXXXX de los ejemplos de secuencia de comandos de control anteriores es un marcador de posición.
El experimento seguirá funcionando normalmente después de haber realizado esta actualización. No es necesario detenerlo o reiniciarlo.
Tenemos el compromiso de mantener la seguridad del Optimizador de sitios web y lamentamos mucho este problema. Seguiremos trabajando intensamente para prevenir futuras vulnerabilidades.
Atentamente,
Trevor
Equipo del Optimizador de sitios web de Google

8 comments

  1. Pingback: Tweets that mention Google reconoce un problema de seguridad en el código de optimizador de sitios e informa a todos sus clientes | Marketing en Internet -- Topsy.com

  2. capital privado

    la verdad que me parece muy bien que reconozcan sus fallas y que as infromen a sus clientes para que le gente pueda saber que pasa

  3. alexsson

    la verdad google es super inseguro y no creo que se preocupen por hacer algo al respecto, cuidado con la informacion que ingresan online

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Esta web utiliza cookies propias y de terceros, para mejorar tu experiencia y recopilar información estadística sobre tu navegación. Si continúas navegando, consideramos que aceptas su uso. Para más información, consulta nuestra “Política de cookies”

ACEPTAR
Aviso de cookies