Conversion Optimization

• About this group
• Forums

• Home
• Groups
• Conversion Optimization
• Forums
• Software zur Conversion Optimierung
• Google Website Optimizer: Kritisches Sicherheitsproblem

• 
  Jörg Dennis Krüger    Premium Member   Group moderator

  The company name is only visible to registered members.

  Google Website Optimizer: Kritisches Sicherheitsproblem

  * Gefahr von Cross-Site-Scripting bei Google Website Optimizer
  * Dringend bei ALLEN Seiten, auf denen GWO eingebunden ist, den GWO-Code aktualisieren.
  
  
  Soeben hat Google an alle Benutzer des Google Website-Optimierungstools (Google Website Optimizer) einen Hinweis verschickt, dass es ein potenzielles Sicherheitsproblem gab.
  
  Google schreibt:
  "Durch die Ausnutzung einer Schwachstelle im Kontrollskript für das Website-Optimierungstool kann ein Angreifer unter Umständen einen Cross-Site Scripting (XSS)-Angriff durchführen. Bei diesem Angriff könnte schädlicher Code auf Ihrer Website ausgeführt werden. Ein solcher Angriff ist nur möglich, wenn eine Website oder ein Browser bereits bei einem separaten Angriff manipuliert wurde. Auch wenn die unmittelbare Wahrscheinlichkeit eines Angriffs dieser Art gering ist, empfehlen wir Ihnen dringend, Maßnahmen zum Schutz Ihrer Website zu ergreifen."
  
  Der Fehler sei jedoch bereits behoben worden. Alle neuen Tests sind nach Angabe von Google nicht mehr für dieses Problem anfällig. Es müssen jedoch alle Seiten aktualisiert werden, auf denen der Google Website Optimizer eingebunden ist!
  
  Google beschreibt zwei Wege, dies zu tun:
  "Sie haben zwei Möglichkeiten zur Aktualisierung Ihres Codes. Eine Möglichkeit ist, die aktuellen Tests zu beenden, dann die alten Skripts zu entfernen und anschließend einen neuen Test zu erstellen. Alternativ können Sie den Code direkt auf Ihrer Website aktualisieren."
  
  Es wird jedoch empfohlen, einen neuen Test anzulegen, da dies die einfachere Methode sei. Wer den Code direkt aktualisieren will, kann diesen der E-Mail entnehmen, die Google versendet hat. Wichtig ist dabei, dass der Parameter "k" mit dem richtigen Wert gefüllt wird.
  This post was modified on 07 Dec 2010 at 02:54 pm.
  • 07 Dec 2010, 2:05 pm
  Jörg Dennis Krüger wrote: > * Gefahr von Cross-Site-Scripting bei Google Website Optimizer > * Dringend bei ALLEN Seiten, auf denen GWO eingebunden ist, den > GWO-Code aktualisieren. > > > Soeben hat Google an alle Benutzer des Google > Website-Optimierungstools (Google Website Optimizer) einen Hinweis > verschickt, dass es ein potenzielles Sicherheitsproblem gab. > > Google schreibt: > "Durch die Ausnutzung einer Schwachstelle im Kontrollskript für das > Website-Optimierungstool kann ein Angreifer unter Umständen einen > Cross-Site Scripting (XSS)-Angriff durchführen. Bei diesem Angriff > könnte schädlicher Code auf Ihrer Website ausgeführt werden. Ein > solcher Angriff ist nur möglich, wenn eine Website oder ein Browser > bereits bei einem separaten Angriff manipuliert wurde. Auch wenn die > unmittelbare Wahrscheinlichkeit eines Angriffs dieser Art gering ist, > empfehlen wir Ihnen dringend, Maßnahmen zum Schutz Ihrer Website zu > ergreifen." > > Der Fehler sei jedoch bereits behoben worden. Alle neuen Tests sind > nach Angabe von Google nicht mehr für dieses Problem anfällig. Es > müssen jedoch alle Seiten aktualisiert werden, auf denen der Google > Website Optimizer eingebunden ist! > > Google beschreibt zwei Wege, dies zu tun: > "Sie haben zwei Möglichkeiten zur Aktualisierung Ihres Codes. Eine > Möglichkeit ist, die aktuellen Tests zu beenden, dann die alten > Skripts zu entfernen und anschließend einen neuen Test zu erstellen. > Alternativ können Sie den Code direkt auf Ihrer Website > aktualisieren." > > Es wird jedoch empfohlen, einen neuen Test anzulegen, da dies die > einfachere Methode sei. Wer den Code direkt aktualisieren will, kann > diesen der E-Mail entnehmen, die Google versendet hat. Wichtig ist > dabei, dass der Parameter "k" mit dem richtigen Wert gefüllt wird.
• Post visible to registered members
• 
  Jörg Dennis Krüger    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re^2: Google Website Optimizer: Kritisches Sicherheitsproblem

  D.R. schrieb:
  Da zählt auch das Argument "kostenlos" nicht. Eine Sicherheitslücke kann passieren, sollte jedoch schnellstmöglich behoben werden und anders kommuniziert werden.
  "Kostenlos" ist generell eines der schlechtesten Argumente. Ich habe schon lange nicht mehr mit GWO gearbeitet - aber vor allem, weil mir die Auswertungsfunktionen nicht reichen.
  
  Einen anderen Nachteil von GWO merkt man hier aber zusätzlich: Der massive JavaScript-Code, der in jede Seite eingebaut werden muss. Bei vielen anderen Testsystemen wäre ein solches Problem durch ein zentrales Update zu beheben, ohne dass jeder Kunde seine Seiten aktualisieren muss.
  
  Viele Grüße,
  Dennis
  
  • 07 Dec 2010, 3:58 pm
  Jörg Dennis Krüger wrote: > D.R. schrieb: > > Da zählt auch das Argument "kostenlos" nicht. Eine Sicherheitslücke > > kann passieren, sollte jedoch schnellstmöglich behoben werden und > > anders kommuniziert werden. > > "Kostenlos" ist generell eines der schlechtesten Argumente. Ich habe > schon lange nicht mehr mit GWO gearbeitet - aber vor allem, weil mir > die Auswertungsfunktionen nicht reichen. > > Einen anderen Nachteil von GWO merkt man hier aber zusätzlich: Der > massive JavaScript-Code, der in jede Seite eingebaut werden muss. Bei > vielen anderen Testsystemen wäre ein solches Problem durch ein > zentrales Update zu beheben, ohne dass jeder Kunde seine Seiten > aktualisieren muss. > > Viele Grüße, > Dennis
• 
  Andreas Unger    Premium Member   Group moderator

  The company name is only visible to registered members.

  Re^2: Google Website Optimizer: Kritisches Sicherheitsproblem

  Hallo Herr D.R.
  
  Ganz ehrlich: das Argument kann ich nicht nachvollziehen. Ich habe nicht vor Wochen etwas gehört, sondern - im Gegenteil - erst heute und zwar *nachdem* Google sich per E-Mail gemeldet hat.
  
  Darüber hinaus sollten Gegenmaßnahmen gegen XSS-Attacken ohnehin ein Sicherheitsthema bei jeder Webanwendung sein.
  
  z.B. sollte jeder verantwortungsvolle Webentwickler jedwede Daten grundsätzlich escapen, bevor sie ausgegeben werden.
  
  In PHP z.B. mit folgenden Funktionen:
  
  htmlspecialchars()
  htmlentities()
  strip_tags() (funktioniert nicht für Attribut-Werte)
  
  Google stellt ein mächtiges Werkzeug kostenlos zur Verfügung und erfüllt seine Sorgfaltspflicht gewissenhaft, indem auf eine mögliche XSS-Sicherheitslücke hingewiesen wird.
  
  Viel riskanter sind doch JavaScript Widgets, Libraries, Code-Snippets o.ä., die von faulen Entwicklern ohne gewissenhafte Prüfung einfach im Code verwendet werden.
  
  Nur dessen Code frei von solchen Zeug ist, der werfe den ersten Stein.
  
  Viele Grüße
  
  Andreas Unger
  
  • 07 Dec 2010, 4:45 pm
  Andreas Unger wrote: > Hallo Herr D.R. > > Ganz ehrlich: das Argument kann ich nicht nachvollziehen. Ich habe > nicht vor Wochen etwas gehört, sondern - im Gegenteil - erst heute > und zwar *nachdem* Google sich per E-Mail gemeldet hat. > > Darüber hinaus sollten Gegenmaßnahmen gegen XSS-Attacken ohnehin ein > Sicherheitsthema bei jeder Webanwendung sein. > > z.B. sollte jeder verantwortungsvolle Webentwickler jedwede Daten > grundsätzlich escapen, bevor sie ausgegeben werden. > > In PHP z.B. mit folgenden Funktionen: > > htmlspecialchars() > htmlentities() > strip_tags() (funktioniert nicht für Attribut-Werte) > > Google stellt ein mächtiges Werkzeug kostenlos zur Verfügung und > erfüllt seine Sorgfaltspflicht gewissenhaft, indem auf eine mögliche > XSS-Sicherheitslücke hingewiesen wird. > > Viel riskanter sind doch JavaScript Widgets, Libraries, Code-Snippets > o.ä., die von faulen Entwicklern ohne gewissenhafte Prüfung einfach > im Code verwendet werden. > > Nur dessen Code frei von solchen Zeug ist, der werfe den ersten Stein. > > Viele Grüße > > Andreas Unger