Die heute offenbar sehr umfangreich ausgesendeten Mails mit dem Betreff "Sicherheitsproblem im Website-Optimierungstool" oder auch "Security issue in Website Optimizer" (je nach Spracheinstellungen des zugehörigen Google-Kontos) scheinen ungeachtet des unüblichen Inhalts und Verfahrens echt zu sein.

Die in der Mail angesprochene Anpassung in den Kontrollscripten für Tests, die die Lücke schließen soll, ist jedenfalls nicht nur "optisch unkritisch" und durchaus geeignet, um den Code sicherer zu gestalten, sondern sie ist auch - wie in der Mail angegeben - in allen Scripten enthalten, die man bei der Anlage eines neuen Tests im Google Website Optimitzer abrufen kann. Das kann wohl als ausreichende Verifikation angesehen werden, obschon es im Web bisher vergleichsweise still um dieses Thema bleibt.

Wer also derzeit aktive Tests auf seiner Website durchführt, sollte die Anpassung zügig übernehmen, um auf der sicheren Seite zu sein. Selbst, wenn man sich bzw. seine Site nicht als typisches Ziel für einen XSS-Angriff sieht, kann es nicht schaden, diese Korrektur am Script vorzunehmen. Denn auch - oder gerade - wenn sich Google dazu entschieden hat, dieses Problem nicht im Blog oder auf andere Weise breitzutreten zu veröffentlichen, sollte die reine Masse an Mails, die hier versendet worden sein muss, Anlass genug zur schnellen Absicherung der eigenen Website sein. Schließlich soll der Einsatz des Website Optimizers zu mehr Conversions und Umsatz führen... und nicht die Angriffsfläche der Website oder des Shops vergrößern, die dieses Ziel ggf. nachhaltig gefährdet.

Abschließend: Wie in der Google-Mail bereits beschrieben, sind neue Tests durch die verbesserten Scripts, die der Website Optimizer bei der Konfiguration auswirft, nicht betroffen.