頭條資訊 – 為您提供最新最全的新聞資訊，每日實時更新

作者 | Gonzalo Sainz Trápaga

譯者 | 平川

策劃 | 陳思

任何在科技行業工作的人都很清楚，大型企業技術巨頭在很大程度上是互聯網的看門人。這篇文章所描述的安全瀏覽事件非常清楚地表明，谷歌實際上控制著誰可以訪問你的網站，無論你在哪裡以及如何運營它。Chrome 佔據了 70% 的市場份額，火狐和 Safari 也都在一定程度上使用了 GSB 數據庫，谷歌只需輕輕一點，就幾乎可以讓任何網站無法在互聯網上訪問。

本文最初發佈於 Gonzalo Sainz Trápaga 的個人博客，由 InfoQ 中文站翻譯並分享。

如果你因為谷歌安全瀏覽已將你的網站或 SaaS 應用列入黑名單而陷入恐慌，請直接跳到介紹如何處理這種情況的部分。Hacker News 的評論頁 上也有很多有趣的評論。

過去，當谷歌（或谷歌發佈的任何糟糕的 AI）決定要扼殺你的企業時，它通常會拒絕你進入它的某個圍牆花園，就是這樣。你可能也聽過一些駭人的故事：

網站被從谷歌的搜索結果頁面中去掉，然後 被人遺忘；

YouTube 視頻 被停掉，創作者失去了收入來源；

Android 應用 被從谷歌應用商店刪除，無法到達它們的用戶；

API 的價格發生了 劇烈的變化，或者乾脆被棄用；

最後但同樣重要的是，個人生活遇到了上述所有情況：失去了 GMail 賬戶和整個數字生活的訪問權限。

我發誓我已經仔細查看了 FAQ！

所有這些都是一個模子刻出來的。首先，企業選擇使用谷歌服務，使其生存完全依賴於這些服務。其次，作為一頭自動化巨獸，谷歌有自己的做事方式：它在自己地球大小的皮製扶手椅上稍微調整下屁股的位置，在不注意的情況下，就碾碎了無數螞蟻大小的企業（相對而言）。第三，也是最後一個，螞蟻大小的企業拼了命地設法告訴谷歌，他們被壓了，但他們只能到達一個自動建議框。

有時，這種螞蟻大小的企業的首席執行官認識谷歌的高層，因為他們是大學同學，或者首席技術官在 Medium 上寫了一篇關於此類企業的文章，不知怎麼就上了 Hacker News 的首頁。然後，谷歌注意到了這些企業遇到的問題，有時它們會認為這值得解決，通常是因為擔心螞蟻革命可能帶來的監管後果。

出於這個原因，在這類企業中有一個共識，如果可能的話，你不應該過度依賴谷歌的服務來建立你的企業。如果你設法避免了生活在谷歌的多重圍牆花園中，你多半會沒事。

平坦的藍色地面和酷酷的紅色屋頂！那麼方便！

1

太陽底下有什麼新鮮事？

如今，“互聯網已不是過去的樣子”，讓我們來談談谷歌在不經意間摧毀你的創業公司的全新途徑：不允許你以任何方式使用谷歌服務。

你是否知道，你的網站域名可能會被谷歌列入黑名單，沒有特別的原因，而且這個黑名單不僅谷歌 Chrome 會執行，還有其他多個軟件和硬件供應商會執行？你是否知道，其他這些供應商同步這個列表的時間和條款解釋非常多變，在某種程度上，這種方式使修復任何問題都非常緊張和不可預測？你是否知道，谷歌審查黑名單報告的時間預計是幾周，而不管其多麼不合理？

這就是你的網站或 SaaS 應用程序

這個黑名單“功能”被稱為 谷歌安全瀏覽，如果你的域名碰巧在安全瀏覽數據庫中被標記，你的用戶將看到上圖所示的微妙信息。警告文本從“欺騙性網站”到“網站包含惡意軟件“（完整列表見 這裡)，它們都有同樣可怕的紅色背景，這樣的 UI 讓人們不大可能跳過警告去使用網站。

第一次遇到這個問題時，我們是從大量客戶報告中瞭解到的。這些報告說，他們在嘗試使用我們的 SaaS 時，看到了紅色警告頁面。第二次遇到這個問題時，我們做了更好的準備，因此，有一些空閒時間來寫這篇文章。

先說下背景。InvGate（我們公司）是一個面向 IT 部門的 SaaS 平臺，在 AWS 上運行，擁有超過 1000 家中小企業和大型企業客戶，服務於數百萬終端用戶。這意味著我們的產品被 IT 團隊用來管理來自他們自己用戶的問題和請求。可以想象一下，當 IT 票務系統突然開始向終端用戶顯示這種不祥的安全警告時，IT 經理的反應會是多麼愉快。

當第一次遇到這個問題時，我們絞盡腦汁試圖瞭解發生了什麼，並瞭解谷歌安全瀏覽（下文將使用縮寫 GSB）的工作機制，同時，我們的技術支持團隊盡力跟蹤客戶報告的問題。我們很快意識到，我們用來提供靜態資產（CSS、JavaScript 和其他媒體）的 Amazon Cloudfront CDN URL 被標記了，這導致我們的整個應用程序在使用特定 CDN 的客戶那裡會失敗。我們對據稱受影響的系統進行了快速檢查，結果顯示一切正常。

我們的 DevOps 團隊緊急設置了新的 CDN，準備將客戶轉移到一個新的域名上。我發現，按照谷歌文檔的說法，對於一個網站為什麼在 谷歌搜索控制檯（下文將使用縮寫 GSC）上被標記為違規網站，GSB 提供了進一步的解釋。我這裡就不說細節了，但要訪問這些信息，你必須 在 GSC 中聲明網站的所有權，這需要你設置一條自定義 DNS 記錄或上傳一些文件到違規域名的根目錄。我們爭分奪秒地完成了這一切，20 分鐘後，我們找到了關於我們網站的報告。

下面是一份報告樣例：

不是特別有用。

報告中還包含一個“請求審核”按鈕，我沒有在網站上做任何操作，而是立即點擊了這個按鈕，因為這上面沒有任何關於所謂問題的信息。儘管文檔說谷歌會提供示例 URL，幫助網站管理員識別問題，但我提交了一份審核申請，並說明報告中沒有列出違規的 URL。

太棒了！請求審核無效的報告可能會導致我以後的審核更加緩慢。

大約一小時後，在我們完成從 CDN 轉移客戶之前，我們的網站被從 GSB 數據庫中清除了。2 小時後，我收到一封自動回覆的郵件，確認審核成功。至於問題的原因，到目前為止還沒有向我們說明。

2

接下來發生了什麼？

在這一事件發生後的一週裡，儘管我們的網址已經被從安全瀏覽黑名單中清除，但我們仍然不時收到公司客戶無法訪問我們系統的報告。

谷歌安全瀏覽為商業和非商業軟件開發人員在他們的產品中使用黑名單提供了兩種不同的 API。特別是，我們發現，至少有一些使用 Firefox 的用戶也遇到了問題，客戶那邊的殺毒 / 防病毒軟件和網絡安全設備也在標記我們的網站，並在問題解決後的許多天內阻止用戶訪問。

我們繼續將所有客戶從原先被列為黑名單的 CDN 轉移到一個新的 CDN，因此，問題得到了永久的解決。我們一直沒有找到問題的原因，但我們認為，是谷歌總部的人工智能磕了迷藥。

3

如何防止谷歌安全瀏覽標記你的網站？

我的觀點：如果你經營的 SaaS 企業有可用性 SLA，在沒有特殊原因的情況下被谷歌安全瀏覽標記，對於業務連續性來說是一個非常真實的風險。

遺憾的是，鑑於標記和審核網站的機制如此不透明，我不認為有一種方法可以完全防止這種情況發生在你身上。但無疑，你還是可以在設計應用程序和進程時最小化這種情況發生的機率，降低真被標記時的影響，並最小化問題出現時繞開問題所需的時間。

以下是我們正在採取的步驟，因此我建議：

不要把所有雞蛋都放在一個籃子裡，聰明地設置域名。GSB 似乎會標記整個域名或子域名。因此，將應用程序分散到多個域名下是一個好主意，因為這將減少單個域名被標記的影響。例如：你的網站是 company.com，你的應用是 app.company.net，歐洲的客戶是 eucdn.company.net，美國東海岸的客戶是 useastcn.company.net，等等。

不要在你的主域名下託管任何客戶生成的數據。我在研究這個問題時發現，許多黑名單案例都是由於 SaaS 客戶不知不覺地將惡意文件上傳到服務器而造成的。這些文件對系統本身無害，但它們的存在卻可能導致整個域名被列入黑名單。用戶上傳到應用程序的任何東西都應該託管在主域名之外。例如：使用 companyusercontent.com 存儲客戶上傳的文件。

在谷歌搜索控制檯中主動聲明所有產品域名的所有權。這樣做並不會阻止你的網站被列入黑名單，但你會收到一封電子郵件，讓你可以迅速對問題做出反應。當你實際處理影響客戶的此類事件時，這段時間很寶貴。

如果需要，請準備好跳轉域名。這是最難做的，但這是應對被列入黑名單唯一有效的工具：改造你的系統，以便其所引用的服務的域名可以很容易地更改（通過腳本或編排工具來執行更改），甚至準備一個備用域名。例如，讓 eucdn.company2.net 成為 eucdn.company.net 的 CNAME，如果第一個域被阻塞，則使用工具更新應用程序的配置，讓它從備用域名加載資產。

4

如果你的 SaaS 應用或網站被谷歌安全瀏覽列入黑名單該怎麼辦？

下面是我的建議：

如果你可以輕鬆快速地將應用切換到一個不同的域名，這是唯一能夠可靠、快速地解決此類事件的方法，但並不是真正的解決。如果可能的話，就這麼做吧。

如果做不到這一點，一旦你確定域名被屏蔽，仔細閱讀谷歌搜索控制檯上提供的報告。如果在此之前你還沒有聲明對該域名的所有權，那麼你現在就必須這麼做了，這會花一些時間。

如果你的網站確實被黑客入侵了，修復這個問題（即刪除違規內容或被黑客入侵的頁面），然後請求安全審查。如果你的網站沒有被黑客攻擊，或者安全瀏覽報告毫無意義，那就提交一份安全審查申請，並說明這份報告不完整。

然後，如果停機時間對你的系統或企業而言至關重要，那麼與其痛苦地等待，不如開始轉移到一個新的域名上吧。審查可能需要數週時間。

5

接下來發生了什麼？

第二次發生在第一次事件幾個月後，我們收到了來自搜索控制檯的一封電子郵件，警告我們說我們的一個域名被標記了。在收到這份電子郵件報告幾小時後，作為一名 G Suite 域名管理員，我收到了另一封有趣的電子郵件，如下所示。

讓我來總結一下，因為這很令人震驚。該郵件引用了搜索控制檯黑名單告警郵件。這第二封郵件說的是，G Suite 的自動釣魚郵件過濾器認為谷歌搜索控制檯關於我們的域名被列入黑名單的郵件是假的。當然不是，因為當我們收到這封郵件時，我們的域名確實被列入了黑名單。所以谷歌自己甚至也不能確定他們關於網絡釣魚的電子郵件警告是否屬於網絡釣魚。

6

錦上添花

任何在科技行業工作的人都很清楚，大型企業技術巨頭在很大程度上是互聯網的看門人。但我傾向於用一種不太嚴謹的隱喻方式來說明這個問題。這篇文章所描述的安全瀏覽事件非常清楚地表明，谷歌實際上控制著誰可以訪問你的網站，無論你在哪裡以及如何運營它。Chrome 佔據了 70% 的市場份額，火狐和 Safari 也都在一定程度上使用了 GSB 數據庫，谷歌只需輕輕一點，就幾乎可以讓任何網站無法在互聯網上訪問。

這是一種非常強大的力量，但並不適合谷歌“AI 會在它認為方便的時候審核你的問題”的方法。

查看英文原文：

https://gomox.medium.com/google-safe-browsing-can-kill-your-startup-7d73c474b98d

轉載請超鏈接註明：頭條資訊 » 谷歌在用新的創新方式殺死SaaS創業公司

免責聲明
    ：非本網註明原創的信息，皆為程序自動獲取互聯網，目的在於傳遞更多信息，並不代表本網贊同其觀點和對其真實性負責；如此頁面有侵犯到您的權益，請給站長發送郵件，並提供相關證明(版權證明、身份證正反面、侵權鏈接)，站長將在收到郵件24小時內刪除。