/webmasters/community?hl=es
/webmasters/community?hl=es
7/12/10
Usuario que ha publicado el mensaje
Refresa

Problema de seguridad en el Optimizador de sitios web

Hola,
hoy mismo me ha llegado el siguiente correo con titulo: "Problema de seguridad en el Optimizador de sitios web"
No se si es algo realmente de google o no, aunque el remitente es: websiteoptim...@google.com
enviado por scoutcamp.bounces.google.com
¿Que tengo que hacer?
Mil gracias!
 
 
El correo es este:
 
"Problema de seguridad en el Optimizador de sitios web
Optimizador de sitios web de Google

 
Estimado usuario del Optimizador de sitios web:
 
Le escribimos para informarle de un posible problema de seguridad con el Optimizador de sitios web. Si se aprovecha una vulnerabilidad en la secuencia de comandos de control del Optimizador de sitios web, un atacante podría ejecutar código malicioso en su sitio mediante un ataque de secuencias de comandos entre sitios (XSS). Este ataque solo se puede llevar a cabo si un sitio web o un navegador ya está en peligro debido a otro ataque. Aunque la probabilidad inmediata de este ataque es baja, le recomendamos que adopte medidas para proteger su sitio.
 
Hemos corregido el error y todos los experimentos nuevos no están expuestos a la vulnerabilidad. No obstante, se deben actualizar los experimentos que está ejecutando actualmente para corregir el error en su sitio. Además, si tiene alguna secuencia de comandos del Optimizador de sitios web de experimentos en pausa o detenidos que se han creado antes del 3 de diciembre de 2010, también deberá suprimir o actualizar el código.
 
Hay dos formas de actualizar el código. Puede detener los experimentos actuales, suprimir las secuencias de comandos anteriores y crear un experimento nuevo, o bien puede actualizar el código en el sitio directamente. Le recomendamos que cree un experimento nuevo, ya que es el método más simple.
 
Creación de un experimento nuevo
 
1. Detenga los experimentos del Optimizador de sitios web que se estén ejecutando actualmente.
2. Suprima todas las secuencias de comandos del Optimizador de sitios web del sitio.
3. Cree un experimento nuevo de la forma habitual. Los experimentos nuevos no son vulnerables.
 
Actualización directa de la secuencia de comandos de control del Optimizador de sitios web
 
1. Busque la secuencia de comandos de control en su sitio. Tiene el siguiente aspecto:
 
Secuencia de comandos de control de prueba A/B
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->
 
Secuencia de comandos de control de prueba multivariable
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->
 
2. Busque lo siguiente en la secuencia de comandos de control: return c.substring(...
3. Modifique la siguiente línea tal como se muestra a continuación:
ANTES: return c.substring(i+n.length+1,j<0?c.length:j)
CORREGIDO: return escape(c.substring(i+n.length+1,j<0?c.length:j))
Asegúrese de incluir el paréntesis de cierre final “)”
 
Secuencia de comandos de control A/B corregida
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->
 
Secuencia de comandos de control multivariable corregida
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->
 
Observe que la línea k=XXXXXXXXX de los ejemplos de secuencia de comandos de control anteriores es un marcador de posición.
 
El experimento seguirá funcionando normalmente después de haber realizado esta actualización. No es necesario detenerlo o reiniciarlo.
 
Tenemos el compromiso de mantener la seguridad del Optimizador de sitios web y lamentamos mucho este problema. Seguiremos trabajando intensamente para prevenir futuras vulnerabilidades.
 
 
Atentamente,
Trevor
Equipo del Optimizador de sitios web de Google
 
Preferencias de correo electrónico: le hemos enviado este aviso de servicio obligatorio por correo electrónico para informarle de cambios importantes en su cuenta o producto de Optimizador de sitios web de Google.
 
Copyright 2010. Google es una marca comercial de Google Inc. El resto de los nombres de empresas y de productos pueden ser marcas comerciales de las empresas respectivas a las que están asociados."
Es posible que el contenido de la comunidad no esté verificado ni actualizado. Más información
Respuesta recomendada
¿Te ha resultado útil esta respuesta?
¿Cómo podemos mejorar esta página?
Todas las respuestas (11)
luzie
7/12/10
luzie
Hola Refresa,

siendo de websiteoptim...@google.com supongo que el mensaje no es falso, pero de todos modos inmediatamente preguntaré a los Googlers mismos si verdaderamente proviene de ellos.

Saludos, -luzie-
luzie
7/12/10
luzie
Mejor no cambies este código hasta que estemos seguros de que eso no es algún fraude ^^
luzie
7/12/10
luzie
>>> ... aunque el remitente es: websiteoptim...@google.com

¿¿Seguro?? (Todavía estoy esperando la respuesta de Google)
sagonzalo
7/12/10
sagonzalo
hola como estan? yo recibí el mismo correo con el mismo remitente, busque el código a reemplazar y no lo encuentro, tambien me piden que suprima experimentos actuales y realice nuevos, no se que hacer que recomiendan?
luzie
7/12/10
luzie
Recomiendo a suponer que es una noticia fraudulenta y a no hacer nada hasta que sabemos con certeza de que se trata.

-luzie-
5 MÁS
luzie
8/12/10
luzie
Asi es. No entiendo porque Google envia mensajes a quienes ni tienen instalado el programa ^^
 
Esta pregunta está bloqueada y se han inhabilitado las respuestas. Si tienes más preguntas, consulta a la comunidad de ayuda.

Insignias

Algunos miembros de la comunidad pueden tener insignias que indican su identidad o nivel de participación en una comunidad.

 
Experto: Empleado de Google (administradores de la comunidad y guías de Googlers)
 
Experto: Especialista de la comunidad (colaboradores de Google que comparten su experiencia)
 
Experto: Oro (miembros de confianza que más conocimientos tienen y más colaboran)
 
Experto: Platino (miembros experimentados que, además de ayudar, colaboran dando orientación, creando contenido y mucho más)
 
Experto: Antiguo (que ya no están en activo, pero a los que se les reconoció su ayuda)
 
Experto: Plata (miembros nuevos que están desarrollando su conocimiento de los productos)
Es posible que el contenido de la comunidad no esté verificado ni actualizado. Más información

Niveles

Los niveles de los miembros indican el nivel de participación de un usuario en un foro. Cuanto más participe, mayor será el nivel. Todos los usuarios comienzan en el nivel 1 y pueden llegar hasta el 10. Estas actividades te permiten subir de nivel en un foro:

  • Publicar una respuesta
  • Que otros usuarios seleccionen tu respuesta como la mejor
  • Que otros usuarios consideren que tu entrada es útil
  • Votar por una entrada positivamente
  • Marcar un tema o una entrada correctamente como uso inadecuado

Si una entrada se marca como uso inadecuado y se retira, el usuario pasará de nivel de forma más lenta.

¿Quieres ver el perfil en el foro?

Para ver el perfil de este miembro, debes salir de esta página del Centro de Ayuda.

¿Quieres denunciar un uso inadecuado en el foro?

Este comentario se originó en el Foro de Productos de Google. Para denunciar un uso inadecuado, debes salir de esta página del Centro de Ayuda.

¿Quieres responder en el foro?

Este comentario se originó en el Foro de Productos de Google. Para responder, debes salir de esta página del Centro de Ayuda.