nut2go
Newbie
พลังน้ำใจ: 1
 ออฟไลน์
กระทู้: 22
|
 |
« เมื่อ: 08 ธันวาคม 2010, 15:21:47 » |
|
เมลที่ได้เป็นภาษาไทย เลย
หัวข้อเมล คือ ปัญหาด้านความปลอดภัยในเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์
ข้อความดังนี้ แต่เข้าไปดู ในเวป ของgoogle ไม่เจอการแจ้งเตือน เลยไม่แน่ใจ นี้เมลจริงหรือ ปลอม ของ google
เรียน ผู้ใช้เครื่องมือเพิ่มประสิทธิภาพเว็บไซต์,
เราติดต่อมาเพื่อแจ้งให้คุณทราบถึงปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นกับเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์ ด้วยการใช้ประโยชน์จากช่องโหว่ในสคริปต์ควบคุมของเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์ ผู้บุกรุกอาจสามารถเรียกใช้โค้ดที่เป็นอันตรายบนไซต์ของคุณโดยการโจมตีแบบ Cross-Site Scripting (XSS) การโจมตีนี้จะเกิดขึ้นในกรณีที่เว็บไซต์หรือเบราว์เซอร์ถูกบุกรุกจากการโจมตีแบบอื่นมาแล้วเท่านั้น แม้ว่าจะมีความเป็นไปได้น้อยที่จะถูกโจมตีในลักษณะนี้โดยทันที แต่เราสนับสนุนให้คุณใช้มาตรการเพื่อปกป้องไซต์ของคุณ
เราได้แก้ไขข้อบกพร่องแล้ว และการทดสอบใหม่ทั้งหมดไม่มีช่องโหว่ อย่างไรก็ตาม คุณจำเป็นต้องอัปเดตการทดสอบใดๆ ที่กำลังทำงานอยู่เพื่อแก้ไขข้อบกพร่องบนไซต์ของคุณ นอกจากนี้ หากคุณมีสคริปต์ของเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์ใดๆ จากการทดสอบที่หยุดชั่วคราวหรือหยุดทำงาน ซึ่งสร้างขึ้นก่อนวันที่ 3 ธันวาคม 2010 คุณจำเป็นต้องลบหรืออัปเดตโค้ดดังกล่าวด้วยเช่นกัน
มีสองวิธีในการอัปเดตโค้ดของคุณ คุณสามารถหยุดการทดสอบปัจจุบัน ลบสคริปต์เดิม และสร้างการทดสอบใหม่ หรือคุณสามารถอัปเดตโค้ดดังกล่าวบนไซต์ของคุณได้โดยตรง เราแนะนำอย่างยิ่งให้คุณสร้างการทดสอบใหม่ เนื่องจากเป็นวิธีที่ง่ายกว่า
การสร้างการทดสอบใหม่
หยุดการทดสอบเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์ใดๆ ที่กำลังทำงานอยู่
ลบสคริปต์ของเครื่องมือเพิ่มประสิทธิภาพทั้งหมดออกจากไซต์ของคุณ
สร้างการทดสอบใหม่ตามปกติ การทดสอบใหม่จะไม่มีช่องโหว่
การอัปเดตสคริปต์ของเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์โดยตรง
ค้นหาสคริปต์ควบคุมดังกล่าวบนไซต์ของคุณ ซึ่งมีลักษณะดังนี้:
สคริปต์ควบคุมการทดสอบ A/B
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n '=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i n.
length 1,j
d.write('<sc' 'ript src="'
'http' (l.protocol=='https:'?'s://ssl':'://www') '.google-analytics.com'
'/siteopt.js?v=1&utmxkey=' k '&utmx=' (x?x:'') '&utmxx=' (xx?xx:'') '&utmxtime='
new Date().valueOf() (h?'&utmxhash=' escape(h.substr(1)):'')
'" type="text/javascript" charset="utf-8"></sc' 'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->
สคริปต์ควบคุมการทดสอบหลายตัวแปร
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n '=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i n.
length 1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc' 'ript src="'
'http' (l.protocol=='https:'?'s://ssl':'://www') '.google-analytics.com'
'/siteopt.js?v=1&utmxkey=' k '&utmx=' (x?x:'') '&utmxx=' (xx?xx:'') '&utmxtime='
new Date().valueOf() (h?'&utmxhash=' escape(h.substr(1)):'')
'" type="text/javascript" charset="utf-8"></sc' 'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->
ค้นหาโค้ดต่อไปนี้ในสคริปต์ควบคุม: return c.substring(...
แก้ไขบรรทัดดังต่อไปนี้ตามตัวอย่าง:
ก่อนแก้ไข: return c.substring(i n.length 1,j<0?c.length:j)
หลังแก้ไข: return escape(c.substring(i n.length 1,j<0?c.length:j))
ตรวจสอบให้แน่ใจว่าได้รวมเครื่องหมายวงเล็บปิดสุดท้าย ")" ไว้ด้วย
สคริปต์ควบคุมการทดสอบ A/B ที่แก้ไขแล้ว
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n '=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i n.length 1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc' 'ript src="'
'http' (l.protocol=='https:'?'s://ssl':'://www') '.google-analytics.com'
'/siteopt.js?v=1&utmxkey=' k '&utmx=' (x?x:'') '&utmxx=' (xx?xx:'') '&utmxtime='
new Date().valueOf() (h?'&utmxhash=' escape(h.substr(1)):'')
'" type="text/javascript" charset="utf-8"></sc' 'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->
สคริปต์ควบคุมการทดสอบหลายตัวแปรที่แก้ไขแล้ว
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n '=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i n.length 1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc' 'ript src="'
'http' (l.protocol=='https:'?'s://ssl':'://www') '.google-analytics.com'
'/siteopt.js?v=1&utmxkey=' k '&utmx=' (x?x:'') '&utmxx=' (xx?xx:'') '&utmxtime='
new Date().valueOf() (h?'&utmxhash=' escape(h.substr(1)):'')
'" type="text/javascript" charset="utf-8"></sc' 'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->
โปรดทราบว่าบรรทัด k=XXXXXXXXX ในตัวอย่างสคริปต์ควบคุมด้านบนเป็นเพียงตัวยึดตำแหน่ง
การทดสอบของคุณจะทำงานต่อไปตามปกติหลังจากที่คุณได้ทำการอัปเดตนี้แล้ว ไม่จำเป็นต้องหยุดชั่วคราวหรือเริ่มการทดสอบใหม่
เราพยายามทำให้เครื่องมือเพิ่มประสิทธิภาพเว็บไซต์มีความปลอดภัย และเราเสียใจอย่างยิ่งสำหรับปัญหานี้ เราจะพยายามทำงานอย่างหนักต่อไปเพื่อป้องกันช่องโหว่ในอนาคต
ขอแสดงความนับถือ
เทรเวอร์
ทีมงานเครื่องมือเพิ่มประสิทธิภาพเว็บไซต์ของ Google
|
ความรู้ทั่วไป
