更新了7/3/2014的澄清和优化的陈述。

优化的是一个有助于网站所有者对提高可用性进行测试的流行服务正在泄露有关这些测试的信息。

漏洞嵌入用于在每个站点上实现优化的JavaScript代码,似乎危及网站或其基本安全性。但它确实使任何人都能很少努力,看看究竟是什么考试了优化的客户正在进行。

这是因为每个测试的细节直接在JavaScript中编码。事实上,根据约翰麦克劳林,一个发现泄漏的营销顾问,该代码包含了所有关于所有优化测试的详细信息,该网站在过去的工作以及当前测试。(更新:代码不包含存档的测试,是一个优化的代表。)

“如果你正在寻找竞争对手的东西,并看到他们正在运行的东西,这真的很有用,”McLaughlin告诉VidtureBeat。

更新:优化说,泄漏不是无意的 - 但是,它是所有基于JavaScript的测试工具的特征。但是,该公司表示,它也将很快发布其工具的版本,使客户能够隐藏其测试的细节。

McLaughlin建立了一个网站,Whatyatesting.com,展示漏洞。例如,您可以看到Starbucks的哪些优化测试是进行的,或者测试Healthcare.gov已完成。其他网站MCLaughlin的范围包括Payroll-Processor ADP,自由市场Odesk,Domain Registrar Godaddy和新闻网站CNN。

优化简化了执行A / B测试的过程,其中站点随机向每个访问者随机提供两个变体之一,然后收集有关哪些变体访问者点击更多的数据。A / B测试可以方便地决定制作“购买”按钮的颜色,使用的字体中的大量,用于使用的标题图像等。

但A / B测试也可用于在网站的观众的子集上尝试新产品 - 或者尝试新的定价方案。如果这些测试达到了更广泛的公众 - 或网站的竞争对手 - 泄漏可能会造成损害。

例如,代码教育公司大会似乎可以在其一些在线课程中从29美元到49美元的价格进行测试。MCLaughlin说,Alexa.com正在测试新产品,但只有在全球观众的子集中。

在一个响应中,优化陈述:

为了澄清,这不是安全漏洞。所有JavaScript实验平台,包括优化,具有在源代码中可见的信息。为了使我们的客户更简单地与第三方工具(如分析平台)进行集成,我们最初选择在源代码中包含优化的实验和变体名称。

我们认识到,一些客户可能更愿意在源代码中不可见他们的实验和变体名称,即使它与第三方工具的集成有点难以看出。要解决此问题,我们将很快发布客户在源代码中掩盖优化实验和变体名称的选项。

McLaughlin表示,他将这种脆弱性带来了优化的注意力,但没有收到任何回应。最终促使他通过VidtureBeat将故事带到公众身上。

优化说,它没有McLaughlin联系公司的记录。