谷歌是如何扼杀SaaS创业公司的？

果你因为Google安全浏览将你的网站或SaaS列入黑名单而惊慌失措地来到这里，请跳到前面描述如何处理这种情况的部分。在Hacker News评论页面上也有很多非常有趣的评论。
在过去的日子里，当谷歌（或谷歌的任何调教不佳的人工智能）决定要杀死你的业务时，它通常会采取拒绝访问其多个服务中的一个，就是这样。你可能已经听说过这些恐怖故事。

• 网站脱离了Google搜索结果页面并被遗忘
• YouTube视频被停播，创作者失去了收入来源
• 安卓应用从Google Play商店中删除，无法接触到用户
• 价格大幅变化的API ，或完全废弃
• 最后但并非最不重要的一点是上述所有方面的基础：个人失去访问其GMail帐户和整个数字生活的权限。

它们都符合同一个模式。首先，一个企业，选择使用谷歌的服务，使其生存完全依赖于这些服务。第二，谷歌作为自动化的庞然大物，做着自己的事情：它不断地微微调整自己屁股在其星球大小的真皮扶手椅上的位置，并且，在这个过程中，在没有真正注意到的情况下，粉碎了无数（相对）蚂蚁大小的企业。第三，也是最后，蚂蚁大小的企业拼命地想通知谷歌他们被压垮了，但他们只能接触到一个自动建议箱。
有时候，蚂蚁大小的CEO认识谷歌的高层，因为他们是大学同学，或者CTO写了一篇蚂蚁大小的Medium帖子，不知怎么就上了Hacker News丘的首页。然后，谷歌注意到了蚂蚁大小的问题，有时会认为这个问题值得解决，通常是因为担心蚂蚁革命可能带来的监管影响。
出于这个原因，传统的蚂蚁大小智慧决定，如果可能，你不应该建立你的业务过度依赖谷歌的服务。而如果你能避免依赖谷歌的多个围墙花园来生存，你可能就会没事。

 

阳光下的新事物

在今天的 “互联网今非昔比 “节目中，我们来谈谈谷歌不需要你以任何（刻意）方式使用谷歌服务，就能在不经意间碾压你的创业公司的一个全新渠道。
你知道吗，你的网站的域名有可能被谷歌无缘无故地列入黑名单，而且这个黑名单不仅在谷歌Chrome浏览器中直接执行，而且还被其他一些软件和硬件厂商执行。你知道吗，这些其他厂商同步这个名单的时间和解释都是千变万化的，这种方式会让任何问题的修复都变得非常紧张和不可预知？你是否知道，谷歌审查一份黑名单报告的ETA，无论多么无效，都是以周为单位的？

此黑名单“功能”称为Google安全浏览，此处的图像描述了您的用户将看到的一个微妙消息，即您的某个域是否恰巧在安全浏览数据库中被标记。警告文本的范围从“前面的欺骗性站点”到“前面的站点包含恶意软件”（请参阅此处，以获取完整列表），但是它们均具有同样令人恐惧的红色背景设计，并且人们无法使用边界线UI来跳过警告并使用网站。

第一次遇到此问题时，我们从大量客户报告中得知了这一点，这些客户报告说他们在尝试使用我们的SaaS时看到红色警告页面。第二次，我们作了更好的准备，因此有一些空闲时间写这篇文章。

就上下文而言，InvGate（我们的公司）是一个IT部门的SaaS平台，它在AWS上运行，拥有1000多家SME和企业客户，为数百万最终用户提供服务。这意味着IT团队可以使用我们的产品来管理他们自己用户的问题和请求。您可以想象，当IT经理的IT票务系统突然开始向其最终用户显示这种不祥的安全警告时，IT经理会做出令人愉悦的反应。

当我们初次遇到此问题时，我们疯狂地试图了解正在发生的事情，并了解Google安全浏览（即现在的GSB）是如何工作的，而我们的技术支持团队则试图跟上报告该问题的客户。我们很快意识到用于服务静态资产（CSS，Javascript和其他媒体）的Amazon Cloudfront CDN URL已被标记，这导致整个应用程序因使用该特定CDN的客户实例而失败。对据称受影响的系统进行的快速检查显示，一切看起来都很正常。

当我们的DevOps团队处于完全紧急模式下以设置新的CDN并准备将客户转移到新域时，我发现Google的文档声称GSB提供了有关为何网​​站在Google搜索中被标记的更多解释违规站点的控制台（从现在开始为GSC）。我不会为您带来任何细节，但是为了访问此信息，您必须声明GSC中站点的所有权，这要求您设置自定义DNS记录或将一些文件上传到有问题的域的根目录下。我们争先恐后地做到了这一点，并在20分钟后设法找到了有关我们网站的报告。

该报告如下所示：

该报告还包含一个“请求审阅”按钮，由于没有有关所谓问题的任何信息，因此我迅速单击该按钮而未对该站点进行任何实际操作。尽管有文档表明示例性URL始终由Google提供，以帮助网站站长识别问题，但我还是提交了一条评论，指出没有列出有问题的URL。

大约一个小时后，在我们完成将客户移出该CDN之前，我们已从GSB数据库中清除了我们的网站。我收到一封自动发送的电子邮件，确认在此之后约2小时，审查已成功完成。首先，没有给出引起问题的原因的说明。

之后发生了什么

在此事件发生后的一周内，尽管已从安全浏览黑名单中清除了我们的URL，但我们仍然收到零星的报告，称公司无法访问我们的系统。

Google安全浏览为商业和非商业软件开发人员提供了两种不同的API，以在其产品中使用黑名单。特别是，我们发现至少有一些使用Firefox的客户也遇到了问题，并且来自客户的防病毒/反恶意软件和网络范围内的安全设备也正在标记我们的网站，并阻止用户在问题出现后的许多天访问它解决了。

我们继续将所有客户从以前列入黑名单的CDN转移到新客户，因此该问题得到了彻底解决。我们从来没有适当地确定问题的原因，但是我们将其归因于Google总部对AI的不满。

如何防止Google安全浏览标记您的网站

我的2美分：如果您使用具有可用性SLA的SaaS业务进行运营，则无特殊原因被Google安全浏览标记为业务连续性的真正风险。

令人遗憾的是，鉴于标记和查看网站的机制太过模糊了，我认为您无法完全防止这种情况的发生。但是，您当然可以设计您的应用程序和流程，以最大程度地减少发生这种情况的可能性，降低实际被标记的影响，并最大程度地减少在出现问题时规避该问题所需的时间。

这是我们正在采取的步骤，因此我建议：

• 明智的做法是，不要将所有鸡蛋放在一个篮子里。GSB似乎标记了整个域或子域。因此，将您的应用程序分布在多个域中是一个好主意，因为这将减少标记任何单个域的影响。例如：针对您的网站的company.com，针对您的应用程序的app.company.net，针对欧洲客户的eucdn.company.net，针对美国东海岸客户的useastcdn.company.net等。
• 不要在您的主域中托管任何客户生成的数据。我在研究此问题时发现的许多列入黑名单的情况都是由SaaS客户在不知不觉中将恶意文件上传到服务器引起的。这些文件对系统本身无害，但是它们的存在会导致整个域都被列入黑名单。您的用户上传到您的应用程序的所有内容均应托管在您的主域之外。例如：使用companyusercontent.com存储客户上传的文件。
• 在Google Search Console中主动声明对您所有生产域的所有权。如果这样做，不会阻止您的网站被列入黑名单，但是您会在发生这种情况时收到一封电子邮件，这将使您对问题迅速做出反应。这需要花一些时间，这是您真正处理影响客户的此类事件的宝贵时间。
• 如果需要，请准备好跳转域。这是最困难的事情，但这是防止被列入黑名单的唯一有效工具：对系统进行工程设计，以便可以轻松修改其引用的服务域名（通过使用脚本或编排工具来执行此更改），甚至可能可用的备用名称和备用名称。例如，让eucdn.company2.net成为eucdn.company.net的CNAME，并且如果第一个域被阻止，请更新应用程序的配置，以使用工具从备用域中加载其资产。

如果您的SaaS应用或网站被Google安全浏览列入黑名单该怎么办

这是我的建议：

• 如果您可以轻松，快速地将应用切换到其他域名，那么唯一可以可靠，快速且伪确定地解决此事件的方法。如果可能，请执行此操作。你完成了。
• 失败的是，一旦您确定了被阻止的域，请查看Google Search Console上显示的报告。如果您在此之前尚未声明拥有该域的所有权，则必须立即进行操作，这将需要一段时间。
• 如果您的网站实际上已被黑客入侵，请解决此问题（即删除有问题的内容或被黑客入侵的网页），然后请求进行安全审查。如果您的网站未被黑客入侵或“安全浏览”报告不合理，则无论如何都应要求进行安全审查，并声明该报告不完整。
• 然后，假设停机时间对您的系统或业务至关重要，而不必费神地等待，而是继续着手转移到新域名。审查可能需要数周时间。

顶上的樱桃🍒

在第一次事件发生数月后的第二次，我们收到了来自Search Console的电子邮件，警告我们我们的一个域已被标记。作为G Suite域管理员，这份初始电子邮件报告几小时后，我收到了另一封有趣的电子邮件，您可以在下面阅读。

让我来总结一下是什么，因为很震撼。这封邮件指的是搜索控制台的黑名单提醒邮件。这第二封邮件说的是，G Suite的自动钓鱼邮件过滤器认为Google Search Console关于我们的域名被列入黑名单的邮件是假的。这肯定不是，因为我们收到邮件的时候，我们的域名确实已经被列入黑名单了。所以谷歌连自己关于钓鱼的邮件提醒是否是钓鱼都无法判断。(LOL? 🤔)

关于互联网未来的一些令人不寒而栗的最后想法

从事科技工作的人都非常清楚，大企业科技巨头在很大程度上是互联网的守门人。但我倾向于用一种松散的、隐喻的方式来解释。这篇文章中描述的安全浏览事件非常清楚地表明，谷歌从字面上控制了谁可以访问你的网站，无论你在哪里，如何操作。由于Chrome浏览器拥有70%左右的市场份额，而Firefox和Safari都在一定程度上使用了GSB数据库，谷歌只要轻轻一点，就可以单枪匹马地让互联网上的任何网站几乎无法访问。
这是一种非同一般的力量，也不适合谷歌 “人工智能会在它认为方便的时候和情况下审查你的问题 “的做法。

原文地址：https://gomox.medium.com/google-safe-browsing-can-kill-your-startup-7d73c474b98d