域名黑名单(创业公司自曝)

贾浩楠 发自 凹非寺 量子位 报道 | 公众号 QbitAI互联网巨头的一举一动,对生态圈里的创业公司,有多大影响?国外的一位互联网从业者Gonzalo Sainz Trápaga,曝出了自己的遭遇。最近,谷歌Chrome浏览器的一项安全机制,突然让他的公司业务陷入瘫痪。而且,并不是谷歌有意封杀,一个机制的改动,就给小公司带来了灭顶之灾。业务主页,变成了“钓鱼网站”?Gonzalo Sainz Trápaga的公司名叫InvGate,为客户提供IT资产管理服务。公司的SaaS平台,在亚马逊的AWS上运行。有一天,客户突然发现,谷歌将平台URL列入了黑名单,无法访问。而且,谷歌的黑名单,完全由公司控制,用户根本没有权限为某一个地址“开白”。也就是说,这个网址,彻底被谷歌“判了死刑”。公司立刻向谷歌谷歌反映情况,但得到的,只是AI的自动回复。到底发生了什么?谷歌浏览器的黑名单机制什么样的?这个黑名单功能,其实就是谷歌浏览器的安全浏览(GSB)。最初的目的,是为了屏蔽钓鱼网站。如果一个域名恰好在安全浏览数据库中被标记,那么所有开启了GSB的用户都无法访问这个地址。通常,Chrome的安全浏览功能是默认开启的。发展到今天,GSB封杀一个域名的理由五花八门, 既有“欺骗性网站 ”,也有“前方网站包含恶意软件”等等。封杀一个域名之后,谷歌不会提供“仍要继续访问”的选项。Gonzalo Sainz Trápaga随后发现,公司用于服务静态资产的一个Amazon Cloudfront CDN(内容分发网络)域名已被标记,这导致使用该特定CDN的客户无法使用平台。Google的GSB解释文档中,提供了一个网站被标记违规的解释。域名所有者必须在Google搜索控制台(GSC)上提交对网站所有权的报告,这个报告中必须重新设置一个自定义的DNS(域名系统)记录。审核通过后,域名才能“重见天日”。被“拉黑”,企业该怎么办?此前,谷歌“杀死”创业公司的手段也是层出不穷,比如:不显示搜索结果。YouTube视频被停播,创作者失去收入来源。Android应用从Google Play商店中被删除。API的价格大涨,或者干脆取消。但这些手段还不算是“赶尽杀绝”,用户总有一条后路。但将域名拉黑,阻断一切访问,即使是几个小时时间,对于提供互联网服务的企业来说,也是致命的。而且,申诉之后,整个审核过程可能长达数周。此外,谷歌的标记、审查机制是不透明的。很多被列入黑名单的案例都是由于SaaS客户在不知情的情况下将恶意文件上传到服务器上造成的。谁也无法保证自己的域名不会被拉黑。所以,域名方面,不要把所有的鸡蛋放在一个篮子里。GSB会对整个域或子域进行标记。因此,应该将应用程序分布在多个域上,例如:company.com用于你的网站,app.company.net用于你的应用程序,eucdn.company.net用于欧洲的客户,useastcdn.company.net用于美国东海岸的客户,等等。此外,也不要在你的主域名中托管任何客户产生的数据。有些文件对系统本身是无害的,但它们的存在会导致整个域被列入黑名单。而一旦被谷歌拉黑,唯一的补救方法,就是换域名。然后准备漫长的申诉和等待。这个锅应该谷歌来背吗?Chrome浏览器拥有70%左右的市场份额,而Firefox和Safari都在一定程度上使用了GSB数据库。所以,谷歌几乎可以毫不费力地让互联网上的任何网站无法访问。一个企业,选择使用谷歌的服务,那么它的生存可能完全依赖于这些服务。而“庞然大物”谷歌,即使是最细微的业务调整,也可能粉碎无数小的企业。小企业拼命地想通知谷歌他们被压垮了,但他们所做的,可能只是触发了一个自动建议回复机制。这样的情景每天都在上演。所以,错误全在谷歌?HackerNews上,亲自参与过此类审查机制创建的网友jederg,分享了自己的看法。这种机制,最初是为了打击钓鱼网站而诞生的。而且,这也不是谷歌最先开发。是其它的互联网公司组成了工作组,一同创建了了域名黑名单。并询问浏览器开发商能否添加黑名单机制。一开始,浏览器方面是拒绝的,但随后,这些公司承诺所有域名都会人工审核,并且愿意承担相关责任。内置的黑名单就这样诞生了。互联网公司将某个域名挂上黑名单,然后所有的浏览器都会屏蔽它。但从爆料者的遭遇来看,域名被拉黑,似乎并没有经过任何人工审查的阶段。谷歌方面也没有给出屏蔽的理由。jederg感叹,如今,互联网巨头已经遗忘了当时的承诺,也忘记了对于责任的敬畏。

本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.175ku.com/27499.html