top

ウェブサイトオプティマイザーにおけるセキュリティ問題

ウェブサイトオプティマイザーを利用している方には既にメールが届いているかと思いますが、
セキュリティに関する問題が発見されたとアナウンスされました。

GW、お盆や年末年始などの長期休暇の後は、ウィルス被害が多くなります。
それは、長期休暇中はPCが定期的に立ち上がらず、
同時にセキュリティ更新が行われないため、PCのセキュリティが
弱くなったところにウィルスが進入しやすくなるため・・・ということが
原因だそうです。

顧客情報などを管理している方々は特に取り扱いに注意してください。

続きに、アナウンスされたメールを引用しますので、
各関係者の方は対応下さい。
ウェブサイト オプティマイザーをご利用の皆様

いつもご利用いただきありがとうございます。ウェブサイト オプティマイザーにおける潜在的なセキュリティの問題についてお知らせいたします。ウェブサイト オプティマイザーの制御スクリプトの脆弱性を利用したクロス サイト スクリプティング(XSS)攻撃によって、お客様のサイトで悪意のあるコードが実行される可能性があることが判明しました。この攻撃が発生するのは、ウェブサイトまたはブラウザが既に別の攻撃を受けたことがある場合のみです。直ちに攻撃を受ける可能性は低いものの、サイトを保護するため対処していただくようお願いいたします。

バグは既に修正いたしましたので、新しいテストが影響を受けることはありません。しかし、現在実行中のテストにつきましては、サイトのバグを修正するために更新していただく必要があります。また、2010 年 12 月 3 日より前に作成し、一時停止または停止済みのテストのウェブサイト オプティマイザー スクリプトも同様に、コードを削除または更新していただく必要があります。

コードを更新するには 2 つの方法があります。現在のテストを停止し、古いスクリプトを削除して、新しいテストを作成する方法か、サイトのコードを直接更新する方法です。新しいテストを作成する方が簡単なので、前者の方法をおすすめします。

新しいテストを作成する

   1. 現在実行中のウェブサイト オプティマイザーのテストを停止します。
   2. サイトからウェブサイト オプティマイザーのスクリプトをすべて削除します。
   3. 通常どおりに新しいテストを作成します。新しいテストに脆弱性はありません。

ウェブサイト オプティマイザーの制御スクリプトを直接更新する

   1. お客様のサイトで制御スクリプトを見つけます。次のとおりです。

    A/B テストの制御スクリプト
    <!-- Google Website Optimizer Control Script -->
    <script>
    function utmx_section(){}function utmx(){}
    (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
    if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
    length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
    d.write('<sc'+'ript src="'+
    'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
    +'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
    +new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
    '" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
    </script><script>utmx("url",'A/B');</script>
    <!-- End of Google Website Optimizer Control Script -->

    多変量テストの制御スクリプト
    <!-- Google Website Optimizer Control Script -->
    <script>
    function utmx_section(){}function utmx(){}
    (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
    if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
    length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
    d.write('<sc'+'ript src="'+
    'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
    +'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
    +new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
    '" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
    </script>
    <!-- End of Google Website Optimizer Control Script -->

   2. 制御スクリプトで return c.substring(... という部分を探します。
   3. この行を次のように修正します。
      修正前: return c.substring(i+n.length+1,j<0?c.length:j)
      修正後: return escape(c.substring(i+n.length+1,j<0?c.length:j))
      必ず最後の閉じ括弧「)」を含めるようにしてください。

    修正後の A/B テストの制御スクリプト
    <!-- Google Website Optimizer Control Script -->
    <script>
    function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
    return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
    var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
    'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
    +'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
    +new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
    '" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
    </script><script>utmx("url",'A/B');
    </script>
    <!-- End of Google Website Optimizer Control Script -->

    修正後の多変量テストの制御スクリプト
    <!-- Google Website Optimizer Control Script -->
    <script>
    function utmx_section(){}function utmx(){}
    (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
    if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
    return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
    var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
    'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
    +'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
    +new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
    '" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
    </script>
    <!-- End of Google Website Optimizer Control Script -->
top
メールマガジン登録
専門家だけが知っているPPC広告やSEO、アナリティクスの最新情報をいち早くお届け!
メールアドレス:


ppc広告完全マニュアル

seo対策で不動の検索上位を奪う方法
アーカイブ
PPC広告 pro - 金島弘樹のコンサルティングサイト