神译局是转载旗下编译团队,关注科技、商业、职场、生活等领域,重点介绍国外嘅新技术、新观点、新风向。
转载:就算唔用 G 家嘅产品,唔依赖SEO引流,都可以被 G 家搞残。因为你嘅用户需要用浏览器访问你嘅网站,而Chrome市场占有率最高。如果贵司嘅域名唔小心上Chrome嘅黑名单,基本上贵司嘅业务就要中断几个钟头甚至几礼拜。Google 嘅免费产品基本上是无办法让你能揾到一个人类客服反映问题嘅,都系冷冰冰嘅表格,然后就是等待。你嘅同学如果喺 Google 内部工作,估计作用也唔多。这该点样是好?避免唔嘎啦,任何公司任何域名都有呢个风险。原文标题A new and innovative way for Google to kill your SaaS startup,作者Gonzalo Sainz Trápaga。
喺以前,当Google(或Google嘅子公司)决定要杀死你嘅业务时,佢通常会采取拒绝你访问Google嘅众多业务中嘅一个,你可能听讲过呢啲恐怖故事:
公司嘅网站喺Google搜索结果被人为嘅排喺好后面。
YouTube视频被停播,创作者失去收入来源。
Android应用从Google Play商店中被删除,无办法接触到用户。
API嘅价格被大幅改变,或者干脆停止服务。
最后但并非最唔重要嘅系,你嘅个人账号失去对Gmail账户和相关数字服务嘅访问。
我发誓我已经查过FAQ!
佢们都符合同一个模式。首先,一个企业,选择使用Google嘅服务,使其生存完全依赖于呢啲服务。第二,Google作为自动化嘅庞然大物,做住自己嘅事:佢唔断地微微调整自己屁股坐喺沙发上嘅位置,并且,喺呢个过程中没有注意自己压碎无数(相对Google而言)蚂蚁大小嘅企业。第三,呢啲蚂蚁大小嘅企业拼命地想通知Google,佢哋被碾压嘎啦,但佢哋根本得唔到真正地回应。
有时候,蚂蚁大小嘅公司嘅CEO认识Google嘅高层,因为佢哋是大学同学,或者CTO写一篇文章,上开发者社区嘅首页。然后,Google注意到蚂蚁公司嘅问题,有时会认为相关问题值得解决,通常是因为担心可能带来嘅监管影响。
为此,如果可能嘅话,你唔应该将你嘅业务建立喺过度依赖Google嘅服务上。而如果你设法避免依赖Google,你会发现这是可能嘅。
日光下嘅新事
喺今日嘅 “互联网已今非昔比”嘅话题度,我哋来谈谈谷歌唔经意间碾压你嘅创业公司嘅一个全新方式,佢唔需要你以任何方式使用谷歌嘅服务。
你系咪知道,你嘅网站嘅域名有可能被Google无缘无故地列入黑名单,而且呢个黑名单唔仅喺Google Chrome浏览器中直接执行,而且还被第啲一啲软件和硬件供应商执行。你知道吗,呢啲第啲厂商同步呢个名单嘅时间和原因都系千变万化嘅,呢种方式会让任何试图修复都变得非常困难和唔可预知?你系咪知道,谷歌回复你嘅相关问题嘅反馈速度,至少要一周嘅时间?
你嘅产品就咁样被谷歌封杀嘎啦。
谷歌将呢个黑名单“功能”称为谷歌安全浏览,上面嘅图片描述如果你嘅一个域名恰好喺安全浏览数据库中被标记,你嘅用户将睇到嘅信息。警告文本嘅范围从 “前方有欺骗性网站”到 “前方网站包含恶意软件”,但佢们都有一个同样可怕嘅红色背景设计,以及唔可能让人跳过警告并正常访问该网站。
第一次遇到呢个问题时,我哋是从激增嘅客户反馈中认识到嘅,客户说他喺尝试使用我哋嘅SaaS时睇到红色警告页面。第二次遇到呢个问题时,我哋准备得比较充分,因此有一啲空闲时间来写这篇文章。
我哋公司InvGate系一个面向IT部门嘅SaaS平台,运行喺AWS上,拥有1000多家中小企业和企业客户,为数百万终端用户提供服务。也就是说我哋嘅产品提供畀客户嘅IT团队用来管理自己用户嘅问题和请求。你可以想象,当IT经理们嘅IT票务系统突然开始向佢哋嘅终端用户显示呢种唔祥嘅安全警告时,佢哋会有系样“愉快”嘅反应。
当我哋第一次遇到呢个问题时,我哋用各种方法试图认识发生乜嘢,我哋学习Google安全浏览(GSB)嘅工作原理,同时我哋嘅技术支持团队试图跟上客户报告呢个问题。我哋好快意识到,我哋用于服务静态资产(CSS、Javascript和第啲媒体)嘅一个Amazon Cloudfront CDN URL已被标记,呢导致我哋使用该特定CDN嘅客户实例嘅成个应用程序失败。对据称受影响嘅系统进行快速检查后发现,一切睇起来都正常。
当我哋嘅DevOps团队喺全员应急模式下工作,以建立一个新嘅CDN,并准备将客户转移到一个新嘅域名上时,我发现谷歌嘅文档声称GSB提供额外嘅解释,说明点解一个网站喺违规网站嘅谷歌搜索控制台(GSC)中被标记。但为访问呢啲信息,你必须喺GSC中宣称对该网站嘅所有权,呢需要你设置一个自定义嘅DNS记录,或者将一啲文件上传到违规域名。我哋争分夺秒地做住呢一切,20分钟后,成功地揾到关于我哋网站嘅报告。
报告嘅内容是咁样嘅:
基本没啥参考价值
该报告还包含一个“请求审核”按钮,我立即点击该按钮,但没有对该网站采取任何实际行动,因为没有任何关于所谓问题嘅信息。我提出审查申请,并附上一条信息,指出没有列出任何违规嘅URL,虽然文件显示Google总是提供URL示例,以帮助网站管理员发现问题。
要求审核无效嘅报告,会导致我以后嘅审核速度更慢。
大约一个个钟头后,喺我哋完成将客户从CDN转移出去之前,我哋嘅网站就从GSB数据库中被清除咗。大约2个钟头后,我收到一封自动邮件,确认审核成功。但没有说明是乜嘢原因导致呢个问题。
之后发生乜嘢?
喺此事件发生后嘅一周内,虽然我哋嘅URL已从安全浏览黑名单中清除,但我哋仍唔断收到零星嘅报告,称有客户难以访问我哋嘅系统。
Google安全浏览提供两种唔同嘅API,供商业和非商业软件开发商喺其产品中使用佢哋嘅黑名单。特别是,我哋发现至少有一啲使用Firefox嘅客户也遇到问题,而且客户嘅防病毒/反恶意软件和全网安全设备也喺问题解决后嘅好多天内标记我哋嘅网站,并阻止用户访问。
我哋继续将所有客户从之前嘅黑名单CDN转移到新嘅CDN上,问题因此得到彻底解决。我哋从来没有确定问题嘅真正原因,但我哋将佢归结为谷歌嘅一啲人工智能问题。
点样防止谷歌安全浏览标记你嘅网站?
如果你经营嘅SaaS业务有可用性服务级别协议,莫名被谷歌安全浏览标记,带来一个非常真实嘅业务风险。
遗憾嘅系,鉴于标记和审查网站嘅机制非常唔透明,我唔认为你有办法完全防止呢种情况发生喺你身上。但是,你肯定可以构建你嘅应用和流程,以最大限度地减少佢发生嘅机会,降低实际被标记嘅影响,并喺出现问题时最大限度地减少解决问题所需嘅时间。
以下是我哋正喺度采取嘅步骤,因此我建议:
唔好将所有嘅鸡蛋都放喺一个篮子里,域名方面嘅问题,GSB似乎会标记成个域或子域。因此,将你嘅应用分布喺多个域名上是个好主意,因为这将减少任何单个域名被标记嘅影响。例如:company.com代表你嘅网站,app.company.net代表你嘅应用,eucdn.company.net代表欧洲嘅客户,useastcdn.company.net代表美国东海岸嘅客户,等等。
唔好喺你嘅主域中托管任何客户产生嘅数据。我喺研究呢个问题时发现嘅好多黑名单嘅案例都系由于SaaS客户喺唔知情嘅情况下将恶意文件上传到服务器上造成嘅。呢啲文件对系统本身是无害嘅,但佢们嘅存喺会导致成个域被列入黑名单。你嘅用户上传到你嘅应用程序上嘅任何嘢都应该托管喺你嘅主域之外。例如:使用companyusercontent.com来存储客户上传嘅文件。
主动喺谷歌搜索控制台中申请你所有域名嘅所有权。如果你咁样做嘎啦,呢唔会阻止你嘅网站被列入黑名单,但你会喺事件发生时收到一封电子邮件,呢将使你能够对问题做出快速反应。这需要一点时间来做,当你真正处理呢种影响客户嘅事件时,呢是宝贵嘅时间。
如果你需要嘅话,要做好跳域嘅准备。这是最难做到嘅事,但佢是防止被列入黑名单嘅唯一有效工具:对你嘅系统进行工程设计,使其引用嘅服务域名可以好容易地被修改(通过有脚本或协调工具来执行呢种变化),甚至可能有替代域名可用并随时准备。
如果你嘅SaaS应用或网站被谷歌安全浏览列入黑名单,该点样办?
我嘅建议如下:
如果你能轻松、快速地将你嘅app切换到一个唔同嘅域名,呢是唯一能可靠、快速解决该事件嘅方法。如果可以,就咁样做。你就没事嘎啦。
如果做唔到呢一点,一旦你确定被封锁嘅域名,查睇出而家Google Search Console上嘅报告。如果你喺这之前没有声称该域名嘅所有权,你而家就必须去做,呢需要一啲时间。
如果你嘅网站确实被黑嘎啦,请解决呢个问题(即删除违规内容或被黑嘅网页),然后请求安全审查。如果你嘅网站没有被黑,或者安全浏览报告是无稽之谈,噉样还是要求进行安全审查,并说明报告是唔完整嘅。
然后,同其喺痛苦中等待,假设停机时间对你嘅系统或业务至关重要,唔如无论点样都要住手转移到一个新嘅域名。审核可能需要几个礼拜。
插曲
喺第一次事件发生嘅几个月后,我哋收到一封来自Search Console嘅邮件,警告我哋嘅一个域名被标记嘎啦。喺这封最初嘅电子邮件报告几个个钟头后,我收到另一封有趣嘅电子邮件,你可以阅读下面嘅内容。
sc-noreply@google.com 中嘅 “sc “代表 “Search Console”。
让我总结一下,因为佢相当令人震惊。这封邮件指嘅系搜索控制台嘅黑名单提醒邮件。这第二封邮件说嘅系,G Suite嘅自动钓鱼邮件过滤器认为谷歌搜索控制台关于我哋嘅域名被列入黑名单嘅邮件是假嘅。这当然唔系,因为当我哋收到这封邮件时,我哋嘅域名确实被列入黑名单。所以,谷歌甚至唔可以决定佢自己嘅关于钓鱼嘅电子邮件警报系咪是钓鱼嘅。(?)
关于互联网未来嘅一啲唔寒而栗嘅想法
任何从事技术工作嘅人都非常清楚,大型企业技术巨头喺好大程度上是互联网嘅守门人。但我倾向于以一种宽松、隐喻嘅方式来解释呢一点。这篇文章中描述嘅安全浏览事件非常清楚地表明,谷歌实际上控制谁可以访问你嘅网站,无论你喺边里以及点样操作佢。由于Chrome浏览器拥有约70%嘅市场份额,而且Firefox和Safari浏览器都喺度一定程度上使用GSB数据库,谷歌剩系要轻轻一弹,就可以使任何网站喺互联网上几乎无办法访问。
译者:蒂克伟
cantonese.live 足跡 粵字翻譯
请登录之后再进行评论