Di masa lalu, ketika Google (atau salah satu AI yang disetel dengan buruk) ingin membunuh bisnis Anda, mereka biasanya akan menolak akses Anda ke beberapa layanan mereka, dan itu berhasil. Anda mungkin pernah mendengar cerita horor:

• Situs web menghilang dari pencarian Google dan hilang terlupakan
  
  
• Video YouTube didemonetisasi dan pembuat kehilangan pendapatan
  
  
• Aplikasi Android menghilang dari Google Play dan tidak dapat menjangkau penggunanya
  
  
• API menjadi lebih mahal atau ketinggalan zaman
  
  
• Last but not least, mitra pribadi untuk semua hal di atas: Orang-orang kehilangan akses ke akun Gmail dan seluruh kehidupan digital mereka.

Saya bersumpah saya membaca FAQ!



Semuanya berjalan sesuai dengan satu skenario. Pada awalnya, bisnis dengan sengaja menggunakan layanan Google sedemikian rupa sehingga mereka bergantung sepenuhnya pada mereka untuk kelangsungan hidup mereka. Kemudian raksasa otomatis Google melakukan tugasnya: Ia sedikit mengubah posisi pantatnya di kursi kulit seukuran planet dan, tanpa menyadarinya, menghancurkan segudang perusahaan (relatif) kecil seukuran semut dalam prosesnya. Dan akhirnya, perusahaan berukuran semut sangat ingin memberi tahu Google bahwa mereka hancur, tetapi hanya dapat berkomunikasi dengan formulir saran otomatis.



Terkadang seorang CEO seukuran semut mengenal seseorang di Google karena mereka adalah teman kuliah, atau CTO menulis postingan yang entah bagaimana berakhir di halaman depan Hacker News. Kemudian Google memperhatikan masalah tersebut dan terkadang menganggapnya layak untuk diselesaikan, biasanya karena takut akan implikasi peraturan yang dapat ditimbulkan oleh revolusi semut.



Karena alasan ini, kebijaksanaan konvensional dari semut menyatakan bahwa Anda tidak boleh terlalu bergantung pada layanan Google. Dan jika Anda bisa menghindari kecanduan ini, semuanya akan baik-baik saja.





Permukaan biru datar dengan atap merah yang keren! Sangat nyaman!

Apa yang baru di bawah bulan

Dalam rangkaian hari ini "Internet Bukankah Sebelumnya", kita akan membahas tentang cara baru yang dapat membuat Google kewalahan secara tidak sengaja. Ini tidak mengharuskan Anda untuk menggunakan layanan Google dalam (disengaja) cara .



Tahukah Anda bahwa domain Anda dapat dimasukkan ke daftar hitam oleh Google tanpa alasan tertentu, dan daftar hitam ini digunakan tidak hanya oleh Google Chrome, tetapi juga oleh beberapa vendor perangkat lunak dan perangkat keras lainnya? Tahukah Anda bahwa vendor lain ini menyinkronkan daftar dengan pengaturan waktu dan interpretasi yang berubah-ubah secara liar, sehingga menyelesaikan masalah apa pun menjadi sangat menegangkan dan tidak dapat diprediksi? Pada saat yang sama, persyaratan untuk memproses keluhan tentang daftar hitam di Google diukur dalam beberapa minggu?





Sekarang seperti inilah tampilan situs atau aplikasi SaaS Anda.



"Fitur" daftar hitam ini disebut Google Safe Browsing , dan pada gambar di atas Anda dapat membaca pesan bahwa pengunjung situs Anda melihat apakah salah satu domain termasuk dalam database Safe Browsing. Teks peringatan berkisar dari "Situs spoof" hingga "Situs berisi malware" (daftar lengkap di sini ), tetapi semuanya disetel dengan latar belakang merah yang sama menakutkannya yang mencoba mencegah pengguna membuka situs sebanyak mungkin.



Pertama kali kami mendengar tentang masalah ini karena lonjakan keluhan dari pelanggan yang menemukan peringatan merah ini saat mencoba menggunakan aplikasi SaaS kami. Kali kedua kami lebih siap, jadi kami sudah punya waktu luang untuk menulis posting ini.



Perusahaan kami InvGate  - adalah platform SaaS untuk departemen TI, yang bekerja di AWS. Ini melayani lebih dari 1000 klien korporat dan jutaan pengguna akhir. Perusahaan menggunakan produk untuk mengelola tiket dan permintaan dari penggunanya. Anda dapat membayangkan reaksi manajer TI ketika tiba-tiba sistem tiket mereka mulai menampilkan peringatan keamanan yang tidak menyenangkan kepada pengguna akhir.



Saat kami pertama kali mengalami masalah ini, kami sangat ingin memahami apa yang sedang terjadi dan memahami cara kerja Google Safe Browsing (GSB), sementara dukungan teknis mencoba untuk mengatasi aliran permintaan dari pelanggan. Kami segera menyadari bahwa URL ke Amazon Cloudfront CDN , tempat kami menyajikan sumber daya statis (CSS, Javascript, dll.), Masuk ke database GSB , dan ini menyebabkan seluruh aplikasi mogok untuk pelanggan yang menggunakan CDN khusus ini. Pengamatan sekilas pada sistem berlabel menunjukkan bahwa semuanya terlihat baik-baik saja.



Saat tim Devops bekerja terburu-buru untuk menyiapkan CDN baru dan bersiap untuk memindahkan klien ke domain baru, saya menemukan di dokumentasi Google bahwa melalui Google Search Console(GSC) Anda bisa mendapatkan penjelasan tambahan tentang alasan situs ditandai di database. Saya tidak akan membuat Anda bosan dengan detailnya, tetapi untuk mendapatkan akses ke informasi ini, Anda harus membuktikan kepemilikan situs , untuk melakukan ini, menyiapkan catatan DNS khusus atau mengunggah beberapa file ke root domain. Kami berhasil - dan dalam 20 menit kami menerima laporan tentang situs kami.



Laporannya terlihat seperti ini:





Ini ... tidak terlalu informatif



Ada juga tombol Minta Peninjauan dalam laporan, yang saya klik dengan cepat tanpa benar-benar mengambil tindakan apa pun di situs karena tidak ada informasi tentang dugaan masalah tersebut. Saya mengirimkan aplikasi dengan catatan bahwa saya tidak mencantumkan URL jahat, meskipun dokumentasinya mengatakan bahwa Google selalu memberikan contoh URL untuk membantu webmaster mengidentifikasi masalah.





Baik! Permintaan untuk memeriksa laporan yang tidak valid dapat menyebabkan pemeriksaan di masa mendatang menjadi lebih lambat.



Sekitar satu jam kemudian, situs telah dihapus dari database GSB, kami bahkan tidak menyelesaikan penarikan klien dari CDN ini. Sekitar dua jam kemudian, sebuah email otomatis datang dan mengkonfirmasi bahwa verifikasi berhasil. Tidak ada klarifikasi tentang apa yang menyebabkan masalah tersebut.

Apa yang terjadi selanjutnya

Selama seminggu setelah insiden tersebut, kami terus menerima laporan berkala tentang masalah akses dari pelanggan.



Penjelajahan Aman Google menyediakan dua API berbeda untuk digunakan dalam produk komersial dan non-komersial. Dalam kasus kami, masalahnya dapat direkonstruksi setidaknya pada beberapa pengguna Firefox, serta beberapa antivirus dan perangkat keamanan jaringan. Mereka menandai situs kami dan memblokir akses ke sana beberapa hari kemudian .



Kami terus memigrasi semua klien dari CDN lama ke yang baru, jadi kami akhirnya memperbaiki masalah selamanya. Kami tidak pernah benar-benar menemukan alasannya dan menyalahkannya pada beberapa AI yang dirajam di kantor pusat Google.

Bagaimana cara mencegah Google Penjelajahan Aman menandai situs Anda

Jika Anda menjalankan bisnis SaaS dan menjanjikan pelanggan akan ketersediaan yang terjamin, maka mencantumkan di Penjelajahan Aman Google tanpa alasan khusus adalah risiko bisnis yang sangat nyata.



Sayangnya, karena mekanisme Google murni untuk memberi tag dan melihat situs, hal ini sepertinya tidak dapat dijamin untuk dihindari. Tapi Anda pasti bisa merancang aplikasi dan proses Anda untuk meminimalkan kemungkinan hal ini terjadi, mengurangi dampak daftar hitam yang sebenarnya, dan meminimalkan waktu yang diperlukan untuk menyelesaikan masalah.



Berikut langkah-langkah yang kami lakukan sendiri yang dapat saya rekomendasikan:

• . , GSB . , . , company.om , app.company.net , eucdn.company.nt , useastcdn.company.nt . .
  
  
• . - , SaaS . , , . , , . , companyusercontent.cm .
  
  
• Google Search Console. , , . , , .
  
  
• Bersiaplah untuk mengubah domain Anda jika diperlukan . Ini adalah hal tersulit untuk dilakukan, tetapi ini satu-satunya alat anti-daftar hitam yang efektif: Rancang sistem sehingga nama domain layanan dapat dengan mudah diubah (melalui skrip atau alat orkestrasi). Misalnya, eucdn.company2.net memiliki data CNAME untuk eucdn.company.net, dan jika yang pertama diblokir, perbarui konfigurasi aplikasi untuk memuat sumber daya dari domain alternatif.

Apa yang harus dilakukan jika aplikasi atau situs web SaaS Anda masuk daftar hitam oleh Google Penjelajahan Aman

Inilah yang akan saya rekomendasikan:

• Jika Anda dapat dengan mudah dan cepat mengalihkan aplikasi Anda ke domain lain, ini adalah satu - satunya cara untuk menyelesaikan insiden tersebut secara andal, cepat, dan semestinya . Jika Anda bisa, lakukanlah. Itu saja.
  
  
• , , Google Search Console. , , .
  
  
• , (, ), . Safe Browsing , , .
  
  
• , , , . .

Beberapa bulan setelah insiden pertama, kami menerima email dari Search Console yang menginformasikan bahwa salah satu domain kami kembali masuk daftar hitam. Beberapa jam kemudian, sebagai administrator domain G Suite, saya menerima email menarik lainnya, yang dapat Anda baca di bawah.





"Sc" di sc-noreply@google.com adalah singkatan dari Search Console.



Izinkan saya menjelaskan dengan kata-kata saya sendiri apa itu, karena ini hanya menakjubkan. Ini adalah peringatan email dari Search Console tentang dimasukkan ke daftar hitam. Email kedua ini menyatakan bahwa filter email phishing otomatis G Suite menganggap email dari Google Search Console ini palsu . Tentu saja tidak.karena domain kami memang masuk daftar hitam. Jadi Google bahkan tidak dapat memutuskan apakah peringatan phishing-nya adalah phishing . (Lol?)

Beberapa pemikiran tidak menyenangkan tentang masa depan internet

Bagi siapa pun di industri teknologi, cukup jelas bahwa raksasa teknologi besar adalah penjaga Internet. Tetapi sebelumnya, saya menafsirkannya dalam arti metaforis yang bebas. Insiden Penjelajahan Aman yang dijelaskan di sini memperjelas bahwa Google benar-benar mengontrol siapa yang dapat mengakses situs Anda, di mana pun dan bagaimana Anda mengoperasikannya. Karena Chrome menguasai sekitar 70% pasar, dan Firefox serta Safari menggunakan basis data GSB, Google dapat membuat situs apa pun hampir tidak dapat diakses di Internet dengan satu jentikan jari.