Google Safe Browsing внезапно нашел вирус на моем сайте. [WNC-611600] Malicious or unwanted software detected on site… (Которого не было — как выяснилось позже).



Посетители сайта видят полноэкранное, красное окно с текстом, что сайт содержит вредоносные программы и авторы сайта пытаются обманом установить эти программы на ваш компьютер, чтобы поменять домашнюю страницу или показывать дополнительную рекламу на сайтах (все это является форменной клеветой).

И пользователи уходят, бегом бегут с сайта, так как верят всему, что на красном экране написано. И я их не осуждаю. Любой на их месте поступил бы также.

False Positive! Ошибка антивируса!

Это бывает. Сейчас напишем в Google, там разберутся и мигом справедливость восторжествует.

На деле все оказывается сложнее и путь к справедливости тернист и чреват потерями времени и денег из-за неверных действий.

Но это не самое страшное.

Беда в том, что ошибка не единичная. От нее страдаю не только я. И исправить ее окончательно Google не в состоянии. По крайней мере сейчас.

А значит, чем больше людей узнает об этом, тем лучше.

И может кто-то важный в Google прочтет, позвонит и скажет:
— Прости, Дима! Наш косяк. (просто мои мечты, в которые я сам не верю)

В скобках мой внутренний голос, который не во всем согласен с основным и все время хочет выражаться нецензурно. За что я заранее извиняюсь.

Разберемся по порядку.

Что такое Google Safe Browsing?


Google Safe Browsing (GSB) защищает порядка 3 миллиардов устройств (компьютеры, телефоны) по всему миру уже 12 год, с 2007 года.

Многие об этом не знают, так как никогда не устанавливали такой программы на свой компьютер. А это и не требуется, так как GSB автоматически устанавливается в Chrome и его клонах, в Firefox и Safari. Отсюда и взялись впечатляющие цифры в 3 миллиарда.

GSB не является дополнением браузера, а скрывается в его настройках, куда добраться не так и просто.

В Firefox вы Google Safe Browsing не найдете. Хотя он установлен и активен по умолчанию.
В настройках Firefox, Security есть опция “Block dangerous and deceptive content”. За этой надписью оно и скрывается.

Выглядит это так, как будто сам Firefox что-то защищает, хотя это не так. Разработчики Firefox в любой момент могут поменять защитника, например на Yandex Safe Browsing.

В браузер встроен код, который обменивается данными с системой Safe Browsing и сверяет хэши URL и файлов с таблицей, полученной от GSB. В зависимости от результатов браузер блокирует доступ и показывает красную картинку.

GSB целиком и полностью управляет кого блокировать, а кого нет. А браузер делает все, что скажут.

У Microsoft есть свой аналог — Smart Screen, который ничего плохого на моем сайте и программах не нашел.

Smart Screen встроен в Internet Explorer и Edge, доля которых намного меньше Chrome.

А теперь детектив!


История началась ранним утром 30 ноября 2018 г.

Я получил письмо от Google Search Console

[WNC-611600] Malicious or unwanted software detected on site…

Это ошибка! — подумал я.

Потому что это был мой сайт и мои файлы, указанные как вредоносные.

Пока я завтракал, пришли такие же письма про второй мой сайт и количество найденных “вредоносных” файлов увеличилось.

Бегу на работу.

Проверил файлы. Все подписаны цифровой подписью и скачав их я убедился, что подпись действительна. Подпись не новая, выдана больше года назад.

Все найденные файлы с разной датой, но не очень старые — в диапазоне от недели до месяца.
Загрузил их на Virustotal с перепроверкой.

Чистые!

Я занимаюсь созданием программ для Windows уже 20 лет и за это время случались ложные детекты антивирусов.

— Ладно, не в первой — подумал я.

В письме от Google предлагали отправить апелляцию, что я немедленно и сделал.
Через два часа пришел ответ, что апелляция отклонена.

И никаких комментариев к ответу.

Следующим письмом Google сообщил что заблокировал весь домен сайта и все страницы, с которых вели ссылки на файлы.

Логика его действий, видимо, следующая: если страница содержит ссылку на вредоносный файл, то вредоносной считается и эта страница. Если ссылки есть на главной странице сайта, то и весь домен.

При заходе на сайт пользователи видели ужасное полноэкранное красное окно: “The site ahead contains harmful programs”.

При скачивании файла он помечается как вредоносный и открыть его в принципе можно, несколько раз подтвердив, что я уверен, что хочу открыть этот файл. Я не думаю, что хоть один из обычных пользователей сайта станет делать это.

Украли подпись?

Я провел несколько экспериментов: подписал файл с помощью другого сертификата (EVO, подпись на токене), создал пустой проект в C++ Builder, собрал его, подписал файл, выложил на сайт.

Google посчитал его вирусом.

Из чего я сделал вывод, что теперь он считает все файлы с этого домена вредоносными, созданными после определенного времени.

Старый файл, месячной давности Google считал совершенно чистым.

Я знаю, что в нем принципиального ничего не менялось (вирусов я туда не добавлял).
Смущало и то, что детект был какой-то выборочный. Google считал почему-то стандартную редакцию программы вирусной, а золотую чистой (наверное золото оберегает от вирусов).

Все это выглядело странно.

В письме от Google предлагали создать тему на форуме Google.

Это я сделал.

В ответ я получил сообщение от негласного модератора, что он видит уже третий такой случай за день.

Я проверил форум и нашел много ответов от модератора. Товарищ пытался помочь в меру сил (предлагал бесполезные советы), но в Google он не работал и ничем реально помочь не мог. Зато в тему начали записываться другие пострадавшие.

Оказывается, я не один!

Ссылка на Google форум.

Я начал искать по форуму Google Webmasters подобные случаи со счастливым концом и нашел один прошлогодний. В нем даже был ответ от “вероятного сотрудника Google”, который предлагал направлять все false positive прямо из Chrome через функцию Report an issue.

Привожу его ответ:

Sergey_Semenov:
If it doesn't help after a review in console, send Chrome issue report from browser (Alt+Shift+I) saying you're a good white-hat company and your files is absolutely clean. It clearly helped us because we had all issues in google console disappeared after Chrome issue report without requesting another review.
Немного странно рапортовать об ошибке в форме уведомления о нежелательных программах и сайтах. Но отдельной формы False Positive ни в Хроме, ни на сайте GSB нет.
Вероятно, Google считает ошибок у них не бывает (нет слов).

Ночь прошла тревожно. (На самом деле намного хуже. Я думал, а что делать. Как жить дальше. Ну хорошо, хоть ребенок уже подрос)

Количество пострадавших увеличилось. Всех объединяло то, что это были производители программ для Windows и в той или иной мере имели связь со средой программирования Delphi.

Delphi bug?
(не думаю...)

Неполный список пострадавших: Greatis Software (RegRun, UnHackMe, BootRacer), Scooter Software (Beyond Compare), IBE Software (HelpNDoc), Blumentals Software (HTMLPad, WeBuilder, RapidPHP), Balanced Scorecard Software (BSC Designer), SpamBully, Gillmeister Software (Rename Expert), Autorun Organizer (Chemtable)…

9 из 10 использовали инсталлятор Innosetup, который написан на Delphi. Один использовал Nullsoft. У всех файлы были подписаны цифровыми подписями компаний.

Род деятельности у всех разный, но мирный: редактор PHP, архиватор, программа сравнения файлов, аддон к Power Point, менеджер автозагрузки, программа создания файлов справки.
Себя я не рекламирую, но у меня есть одна программа, которая удаляет вирусы (перепутать вирус и антивирус несложно).

А другая работает в некоторых крупных компаниях по всему миру (Европарламент, Western Digital, Metropolitan Police, банках и др.). Что могло вылиться в большие неприятности.

Варианты с фолсами по Delphi и Inno Setup были и раньше известны.

Смущало, что количество пострадавших хоть и увеличивалось, но не глобально. В мире много компаний, использующих Delphi программы и инсталляторы Inno Setup.

Почему не страдают они?

Думая над этим вопросом, я взялся “очищать” сайты, убирая ссылки на якобы вредоносные файлы. Нашлось несколько Download архивов, с которых можно было скачать те же файлы и куда Google не добрался.

Куда GSB добрался, было плохо. Их тоже пометили. Страница моей программы на Fileforum.com встречала красным экранам. Download.com просто заблокировал аккаунт моей компании и удалил все программы со своего сайта.

Name.com (подразделение IBM) лишил доступа к своим DNS серверам для домена. Это ущерб, который трудно восполнить немедленно.

Я очистил сайты от ссылок. Отправил в Google ссылки на программы.

И о чудо!

Через день после того как все файл были отосланы в GSB, сайты отправлены на review, Google пошел на попятный и убрал все свои притязания.

Все файлы стали чистыми как слеза. И новые и старые!

И у всех других пострадавших тоже!

Мы вернулись к жизни, к работе (и стали жить счастливо и не умерли в один день).

И все было бы хорошо, если бы…

Через неделю я выложил новую версию программы и через 2 часа ее задетектили как вредоносную!

Это был тяжелый удар (я так и сел, а потом лег).

Я быстро восстановил старую версию. Отправил на review. Утром все очистилось.

С тех пор я постоянно делаю процедуру перед выкладкой новых версий:

  1. Кладу новый файл в новый каталог на сайте.
  2. Отправляю через Chrome, Report an Issue ссылку.
  3. Жду пару часов.
  4. Выкладываю новую версию на новый сайт.

Больше у меня срабатываний не было.

Рецидив возник снова у одного из пострадавших 30 Января.

Он написал мне на почту и мы вместе решили проблему примерно за день. В феврале такая же проблема возникла у другого автора программ. Увидел на RSDN.

Проблема ложных срабатываний не решена ( и решать ее никто не собирается).

Что теперь бояться всю оставшуюся жизнь?




Если вам тоже не повезло, попробуйте это.
Методика действий, основанная на личном опыте:

  1. Не пытайтесь оспаривать сразу же через Google Search Console. Можете потерять время и увеличить свой ущерб.
  2. Убирайте найденные Google файлы с сайтов. Если оставите — ущерб может быть больше.
  3. Если есть старые версии файлы, восстановите их. Если нет, посмотрите, где в Интернете хостятся ваши файлы и Google их не банит. Посылайте трафик туда.
  4. Отправляйте очищенный сайт на Review через Google Search Console.
  5. Закачайте в новое место свои подозрительные файлы (новый каталог, другой сайт) и отправляйте ссылки на неверно определенные файлы через Report Issue. В новой Search Console есть такая же ссылка. Так, что Chrome не обязателен.
  6. Ждите оправдания в пределах 2 часов от GSB и в течении суток от Google Search Console.
  7. От GSB никакого ответа не будет.

Можно проверить статус ссылок поиском на сайте.

Первый вывод: cистема апелляции построена из рук вон плохо


(ты во всем виноват, а почему и в чем, мы тебе не скажем!)
Отсутствует форма Report False Positive.

Например, у Microsoft такая есть. И от них приходит ответ. Не отписка, а результаты тестов и предпринятые ими действия. От GSB никаких ответов.

Нашел, что в США люди дозваниваются по телефону до поддержки Google (это не просто) и получают тот же совет написать на форум. Никто в Google помогать и отвечать не собирается.
На форуме бывают сотрудники Google и, вероятно, его читают (проверено, что читают).
Но отвечают редко. В последнее время — никогда.
(Разговаривать самому с собой и со стенкой — не лучшие ощущения)

Время реакции на апелляцию слишком велико.

Может пройти и день и два.

Вердикту GSB безропотно верят все (особенно в Google).
(потом и не отмоешься!)

В Google вам заблокируют все: сайт, Youtube, почту и т.п., если есть диагноз от GSB.
GSB читает и Gmail. И непонятно на что и как может среагировать (у меня блокирует найденные письма, если в них есть имена вирусов. Т.е. находит вирус в тексте. Это высокое достижение!)

Поэтому, я так думаю, отказывают в review. Если есть вердикт GSB, все, что вы скажете игнорируется. Плохо и то, что причины отказа вы никогда и не узнаете, потому что Google ее не сообщает. (Google присылает стандартные отписки, что вы виновны в нарушении всего и вся)

Разберемся, а на чем основан вердикт GSB?


Оказывается это тайна!



Результаты Virustotal, также принадлежащей Google, могут полностью противоречить решениям GSB.

Вы знаете антивирус GSB? Нет? И я нет. А никакого антивируса Google Safe Browsing нет!

GSB — это проверка URL или хэша файла по некоей своей базе.

Никто не анализирует сайт в реальном времени, прямо перед тем как вы туда попадаете.
Никто не просматривает JS скрипты или файлы на этом сайте.

Просто браузер время от времени скачивает базу на компьютер и проверяет локально.

Больше похоже, что GSB реагирует на поведение.
Появился новый файл, неизвестный ему и система напряглась.
Стали его скачивать больше чем обычно с этого сайта — уже опасно.
А если такой же файл есть на «плохом» сайте, например, у пиратов?
(ну точно — вирус)

А ведь причина банальна. Просто выходит новая версия программы. И ее начинают больше скачивать.

Для GSB нормально, что если скачиваешь файл по одной ссылке — он заражен. Скачиваешь этот же файл по другой ссылке — чист.
Удивлены?
Я тоже.
Это говорит о том, что ссылка помещается в базу без проверки ее содержимого.
(На основании предположений робота)

Обычно это бывает на начальном этапе включения GSB бульдога. Затем бульдог включается на полную и добавляет хэш файла в базу. После этого не важно, с какого URL качают файл. Он везде метится.

При этом, с 99% вероятностью ни один человек файл не анализировал.

Далее бульдог переходит к следующей стадии. Он начинает метить все похожие файлы на сайте. Он метит файлы по цифровой подписи файла, если она есть.

Я проверял этот процесс, создавая пустой проект и компилируя его в exe файл. Подписанный файл детектируется как вредоносный. Последняя стадия: все файлы с домена детектируются как опасные.

Логика действий бульдога понятна: вцепиться и остановить распространение файла как можно скорее.

Судя по истории детектов, видно, что проблема началась с детекта URL (хэш файла не детектился). Затем детект дорос до того, что любые новые файлы с сайта считались вредоносными.

Детект исключительно машинный, основанный на “неизвестных принципах”.
В любом случае все это называется “эвристикой” с определенной долей вероятности.
И вердикт у такой системы должен быть не ВИРУС, а ВОЗМОЖНО подозрительный.

Почему срабатывания появились в одно время у многих, а до этого никогда не появлялись?

Мое предположение, что в GSB что-то придумали, например, обучили нейросеть.
Нейросеть находит похожие файлы. К несчастью, наши файлы оказались похожи с каким-то вирусом.

И GSB считает достаточным основанием, чтобы обвинить в преступлении.
Потом молча убрать свои ошибки и радостно отрапортовать сколько вирусов они нашли.

(Если по такой схеме будет работать суд, то любой может оказаться в тюрьме уже завтра)

Страдают маленькие


Все пострадавшие — это небольшие компании, которым тяжело засудить Google. Видимо, крупные у них в белом списке. (а на маленьких можно просто не обращать внимания)

Как я понял, на текущий момент, единственное, чем могут помочь в Google — это убирать URL и хэши из плохого списка по запросу.

Может быть GSB так хорош, что победил малварь во всем мире?
Не похоже.
Я встречаю одни и те же сайты с малварью уже много лет и они чувствуют себя прекрасно. Количеством дектектов, которым хвастает GSB, меня тоже не убедить. Малварь легко и быстро размножается.

Сама идея проверки по некоей базе, которая к тому же скачивается локально подразумевает некоторый лаг по времени.
(Уже попался, а потом скачалась база)

Второй вывод: не стоит полагаться, что GSB защитит и спасет


Здесь нужны совсем другие средства.

А зачем Google эта борьба с вирусами?


Для чего все эти усилия команды GSB?
Сделать мир лучше?
Или получить информацию о посещаемых пользователями сайтах?

Google уверяет, что проверяет URL сайтов только по хэшу и локально на клиенте, а не на сервере. И отправляет запросы на сервера Google тоже используя только хэши, а не полные URL.
www.chromium.org/developers/design-documents/safebrowsing
Как это работает в Firefox:
support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work

Но какой толк GSB только от хэшей?

Может быть потому, что Google это еще и компания, которая сканирует весь Интернет и имеет базу в которой легко может найти хэш и таким образом получать URL посещаемых сайтов и их анализировать.

Что разглашает Google.

В итоге Google может получать поведенческие характеристики сайтов, даже если Google Analytics на сайте не установлен. Все данные дает GSB совершенно бесплатно.

Несмотря на свои собственные правила для “хороших” приложений при установке Chrome нет галочки “Включить Safe Browsing” и никому не очевидно, что Chrome отсылает информацию в GSB.
(Мой личный вывод, что GSB — это совсем не бескорыстная забота о ближних)

А хотелось бы чтобы GSB следовал хотя бы общепринятым нормам в плане ответственности за свои действия, был открытым и понятным для всех участников процесса: пользователей, владельцев сайтов, производителей ПО.
(не будь злым, ну пожалуйста!)

Комментарии (121)


  1. tuxi
    01.03.2019 17:47
    +2

    В чем то повезло, так как проблема сразу видна и можно начинать ее решать.
    А у нас вот на прошлой неделе была менее приятная история. KAV внес в свой черный список один из десяти наших урлов запросов к бекенду, причем только один и именно тот, который работал в корзине на этапе финального оформления заказа.
    Заметили случайно. Неделя ушла на ожидание когда уберут. 3 года все было ок, и на тебе. Пользователи, у которых стоял KAV не сообщали об этом, наш мониторинг детектировал эту ситуацию как отсутствие связи с сервером.


  1. numitus2
    01.03.2019 18:24
    +11

    Лет 10 назад я считал, что государства это плохо, а вот у Гугла все прекрасно и по другому. Сейчас же понимаешь, что гугл может сделать все что угодно(заблокировать сайт, удалить канал на Ютюбе, исключить сайт из поиска, удалить приложение из гугл плея) и это никак нельзя будет обжаловать и даже понять причины.


    1. Revertis
      01.03.2019 19:13
      +5

      Заглянул недавно в свой список понравившихся видео и список «посмотреть позже» в Ютубе, а там дыры в виде «Видео удалено», «Видео недоступно» и т.п.
      Поэтому, решил таки скачивать видосики постепенно. Пусть лежат на винте.

      И на гугловый аккаунт ничего не завязываю, никаких авторизаций и т.п. Ведь банить они любят, и банят сразу всё, что связано с акком. И даже «аффилированные» аккаунты.


      1. olegchir
        02.03.2019 17:00

        Меня так Гугл на какое-то время банил в Адсенсе, сняв монетизацию со всего канала, по причине — «ваш аккаунт связан с аккаунтом-нарушителем». Кто этот нарушитель — не уточняется. На канале ни одного страйка, ни одного нарушения вообще. На имейлы никто не отвечает, на роботизированные имейлы отвечает робот со ссылками на правила адсенса, юутба и видеокурс «как делать свой, оригинальный контент». Через какое-то время разбанили, но монетизация не включилась, и пришлось ждать месяца три, пока она включится (я уже решил, что это такая форма бана и нужно регать новый, вместе с новым адсенсом на паспорт моей собаки). Но потом включилось назад.


        1. altai2013
          03.03.2019 18:27
          +3

          По моему личному опыту, это совершенно стандартная практика организации службы поддержки в американских компаниях. Недавно имел феерический опыт общения со службой поддержки Ebay: сообщил им об ошибке в программе на сервере, которая неверно детектировала наличие ссылок на сторонние сайты в моём письме покупателю (ссылок не было). В ответ на это мне позвонили из службы поддержки и, после тщательной проверки моей личности, моих товаров, моего номера телефона и прав на аккаунт, с удовлетворением сообщили, что с моим аккаунтом всё в порядке. Разумеется, исправлять ошибку в софте никто и не собирался. В ответ на моё заявление, они начали проверять меня и мой аккаунт, а не себя и свой софт. Но у Ebay хотя бы с живым человеком есть шанс поговорить, а PayPal просто с автоответчиком отправляет переписываться. И так примерно везде.
          image
          Отсюда вывод: монополисты — зло, им плевать на людей. Кто-то из менеджмента PayPal прямо говорил, что жалобы для них — это как скрип колёс едущей телеги.


    1. bootracer Автор
      01.03.2019 19:23

      Я тоже так считал. Но время идет. Гугл захвачен инопланетянами :)


      1. Qwerty710
        02.03.2019 19:02

        Так вот кто кушает оперативку в хроме!


    1. glowingsword
      01.03.2019 22:00
      +1

      Большая власть всегда большая ответственность. А люди не любят ответственность. Они стараются её переложить на кого-то или на что-то. Гугл в этом не оригинален, он, похоже, всё старается максимально автоматизировать. У них даже ТП нормальной нет, судя по тому, что нигде не видно формочек для связи с их ТП.

      При этом и лишаться власти забравшиеся на Олимп не желают — она для них как наркотик. В результате товарищи начинают злоупотреблять своей ответственность, и не важно вольно, или не вольно. Привести их в чувство может только хороший пинок под зад. К сожалению, такой обратной связи между ребятами из компаний-монополистов и пользователями их продуктов нет от слова совсем, поэтому с их злоупотреблением своим положением никто и ничего сделать не может.


      1. bootracer Автор
        01.03.2019 22:13
        +2

        Я вижу, что в Google меняется в сторону максимизации прибыли за счет уменьшения расходов на все и вся.
        Насколько я вижу, все успешные случаи спасения — только через прессу.


        1. glowingsword
          01.03.2019 23:39
          +1

          Думаю это уже многие стали замечать ) Внимание грандов может привлечь только большой хайп в СМИ только потому, что они хоть немного ещё обращают внимание на подобный хайп. На события помельче они вообще не смотрят. Не барское это дело.


    1. OnYourLips
      02.03.2019 11:14

      Именно поэтому государства должны ставить монополистам палки в колеса, даже если монополия возникла из-за более высокого качества продуктов и услуг: монополия убивает конкурентов и лишает их ресурсов, чтобы добиться аналогичного качества, а страдают от этого прежде всего потребители.

      Я помню, что многие считали монополистом Microsoft, но она никогда так грязно не пользовалась своим положением, как Google или Oracle.


      1. yayashitoya
        02.03.2019 15:13

        Я помню, что многие считали монополистом Microsoft, но она никогда так грязно не пользовалась своим положением, как Google или Oracle.

        В те времена, когда MS царствовала — писалось ровно обратное.
        Не удивлюсь, что это писали и вы в том числе.


      1. Ipeacocks
        02.03.2019 16:16
        +1

        > Microsoft, но она никогда так грязно не пользовалась своим положением, как Google или Oracle.
        Ну да, конечно… Классический пример — это docx формат.


        1. yayashitoya
          02.03.2019 19:34

          Классический пример — это docx формат.

          Не соглашусь.
          Это их собственный формат, их собственное дело как там они его внутри крутят.

          А вот их браузер — будет примером получше.


          1. Ipeacocks
            04.03.2019 01:32

            > А вот их браузер — будет примером получше.
            По такой же логике: это их собственная ОС, их собственное дело что они там внутри предустанавливают.


  1. demonit
    01.03.2019 19:17
    +3

    гугл давно уже не торт — поройте на досуге о банах приложений в гугл плейе


    1. bootracer Автор
      01.03.2019 19:27
      +5

      Согласен.
      Но есть разница, что в гугл плэй вы сами программы несете.
      Можете нести их в другое место.
      А GSB это практически бан на весь Интернет


      1. demonit
        01.03.2019 19:43
        +5

        одно уточнение — по факту за пределами гугл плея оказалось жизни нет… т.е. какие-либо установки из других мест даже не в пределах погрешности


        1. petrovichtim
          02.03.2019 08:00

          так и есть, только GP дает инсталы, на остальные магазины лучше даже время своё не тратить


      1. fRoStBiT
        03.03.2019 18:09
        +1

        А GSB это практически бан на весь Интернет

        Бан в Google Play — это практически бан на весь Android.
        А ведь ещё и весь гугловый аккаунт обычно отправляется туда же.


    1. expromt
      02.03.2019 17:17

      Тоже столкнулся с подобной проблемой.
      В разное время была потребность создать в консоли Google Play 2 проекта тестовых.
      Оба небыли даже никогда опубликованы, и даже страницы не заполнены для публикации. Но однажды (через несколько лет после их создания) пришел гугл-робот и оба их заблокировал, поставив аккаунт на грань блокировки… Без каких-либо объяснений или хотя бы ссылок на то что эти приложения нарушали. Хотя повторюсь — ничего нарушать они в принципе даже не могли. Ибо оба были не дооформленными проектами


  1. Anton23
    01.03.2019 19:18
    +3

    Если вы потеряли прибыль из-за гугла — фиксируйте потерю и подавайте в суд(лучше не российский). Возможно вам что-то компенсируют.


    1. bootracer Автор
      01.03.2019 19:54
      +1

      неплохо было бы подать коллективный иск, иначе это слишком дорого.


      1. zagayevskiy
        02.03.2019 20:13

        Продолжайте писать в спортлото.


        1. yayashitoya
          02.03.2019 20:19
          +1

          Продолжайте писать в спортлото.

          Прецедентов с успешными коллективными исками полно.
          Почитайте историю возникновения общества охраны прав потребителей в США.
          Многое для себя откроете. Там было очень непросто, но они победили-таки в судах над корпорациями.


    1. andvary
      02.03.2019 23:42
      +1

      А вы хоть когда-нибудь судились не в России? Вы знаете, сколько стоят адвокаты? Почему вы думаете, что ваш адвокат будет лучше гугловского и вы выиграете?


  1. dartraiden
    01.03.2019 19:23

    В Firefox вы Google Safe Browsing не найдете.
    И это совершенно логично, поскольку графический интерфейс настроек предназначен для массового пользователя, который не знает, да и не собирается узнавать, что такое GSB. Разумеется, там понятное и человеческое описание.

    А если вы хотите настроек для профи, то и ищите safebrowsing в соответствующем месте — в about:config.


    1. bootracer Автор
      01.03.2019 19:45

      Не берусь дискутировать на тему, что лучше массовому пользователю.
      Надеюсь, статья будет полезна для заинтересованных лиц.


    1. moviq
      02.03.2019 19:03

      М-да… Там по этому слову куча настроек…


  1. Crimento
    01.03.2019 19:46

    Вспомнилось…

    opennet, «Опубликованы результаты аудита системы обновления Firefox»
    Анонимм: ну ессьно, не аудит же самого браузера проводить, особенно на предмет шпионажа за пользователями…
    macfaq: Это теперь телеметрия называется.

    (с) bash.im


    1. bootracer Автор
      01.03.2019 19:47
      +1

      Про телеметрию как раз спрашивают, а про защитника нет.


  1. emusic
    01.03.2019 20:25

    Вот кто бы сказал, как заставить гугл адекватно интерпретировать свои же Mobile Friendly тесты… А то Live Page Test стабильно уверяет, что страницы Mobile Friendly, тесты на других ресурсах тоже прекрасно проходят, а валидатор уже который раз талдычит, будто там content wider than the screen и clickable elements too close together. В гуглогруппах на это многие жалуются, а ответа, как обычно, нет. :(


    1. bootracer Автор
      01.03.2019 21:25

      А у вас CSS в виде внешнего файла или встроенный на страницу?
      Если внешний, то возможно файл вовремя не загрузился.
      Лучше основную верстку встраивать как Inline CSS.


      1. emusic
        01.03.2019 21:33

        Файл внешний. Но они ж почти у всех внешние. Да и неправильно это — вставлять в каждую страницу одно и то же. Неужто у гугла такой убогий индексатор, что не обновляет CSS вместе с HTML?


        1. bootracer Автор
          01.03.2019 22:25

          Индексатор не будет ждать долго. Если файл не загрузился за опреденное время, то CSS на странице не будет и все будет Inclinвыглядеть просто ужасно.
          Inline CSS для основных стилей позволяет показывать страницу без ошибок красиво и минимально увеличивая ее вес.


          1. emusic
            01.03.2019 23:39
            +1

            Я Вас умоляю. :) У меня объем CSS — 3 кб, а самой большой страницы — 15 кб. :)


            1. bootracer Автор
              02.03.2019 11:22
              +1

              Я вчера ошибся. Технология называется Embedded CSS, а не Inline.
              Дело может быть не в объеме файлов, а в том что для загрузки CSS требуется отдельное сетевое соединение.
              Поэтому для ускорения загрузки и надежности все важное записывают в код самой страницы.


              1. emusic
                02.03.2019 12:05
                -1

                Да кто записывает-то, покажите пальцем?

                И «все важное» для mobile friendly — это как раз и будет полный объем используемых стилей. Вы вообще о чем?


                1. olegchir
                  02.03.2019 17:05
                  -1

                  Так вы попробуйте вначале, прежде чем ругаться. Может быть, дельный совет.


                  1. emusic
                    02.03.2019 17:16

                    Такой совет по определению не может быть дельным, иначе 95%, если не больше, существующих сайтов не проходило бы гугловских проверок. Это из разряда «протри фары, попинай колеса». :)


                    1. olegchir
                      02.03.2019 18:07

                      У них проверки вероятностные, легко можно наскочить на ложное срабатывание. Ну в общем, это у вас проблемы, решайте как знаете :)

                      Я решил помочь тем, что указал на ошибку в рассуждениях, и то как делал бы я: тер бы фары, пинал колёса, молился бы богам разных религий, менял бы реакт на ангуляр, и существует вероятность, что это поможет.

                      Имхо, это стремительно становится чуть ли не единственной возможной стратегией фоллбэка в мире, где всё управляется нейросетками, и никто уже не сможет сказать — почему именно было принято то или иное решение, оно ведь не «почему», а «так получается».


                      1. emusic
                        02.03.2019 19:09

                        Я в курсе, что вероятностные. Но запихивать в микроскопические HTML-файлы еще более микроскопические CSS — это последнее, что имеет смысл делать в этой ситуации. Вероятность того, что HTML-файлы будут стабильно грузиться быстро, а CSS — отваливаться по таймауту, сама по себе исчезающе мала, а вероятность того, что это будет происходить только с определенными страницами, не затрагивая остальных — еще более ничтожна.

                        Если же следовать вышеуказанным «рекомендациям», то можно дойти и до перестановки местами коммутативных тегов, изменения количества пробелов между словами, и подобных методов случайного тыка.


                        1. bootracer Автор
                          02.03.2019 19:33

                          Я написал только потому, что у меня была несколько раз такая же проблема. И в тесте я вижу, что Google не подгрузил CSS.
                          Поэтому и предложил попробовать.
                          Но Вы можете не обращать внимания на мой совет.
                          Возможно, у Вас другая проблема.

                          Сейчас я вижу, что многие (особенно нагруженные сайты) используют Embedded CSS.
                          А также Compass CSS для создания картинок-спрайтов. А также внедрения картинок прямо в HTML.
                          Все это популярно на высоких нагрузках сайтов. Если для чтения страницы нужно требуется создать 20-30 сетевых соединений ( HTML страница, картинки, скрипты, шрифты), то сервер может легко исчерпать лимит доступных соеднинений.


                          1. emusic
                            02.03.2019 20:00

                            Все это может иметь смысл, но лишь в том случае, если в работе валидатора наблюдается хоть какая-то случайность. В моем же случае, подчеркиваю, Live Page Test стопроцентно успешный, а отложенная валидация столь же стопроцентно неуспешна после почти десятка попыток.


                        1. DistortNeo
                          02.03.2019 21:40

                          Вероятность того, что HTML-файлы будут стабильно грузиться быстро, а CSS — отваливаться по таймауту, сама по себе исчезающе мала

                          Я такое наблюдаю довольно часто, когда CSS и HTML лежат на разных серверах.


                          1. emusic
                            02.03.2019 22:45

                            Это когда с другого сервера импортируется дизайн? У меня, слава богу, все свое. Что, впрочем, не мешает гуглу стабильно лажаться уже второй месяц. :(


                            1. DistortNeo
                              02.03.2019 23:19

                              Почему же? Оба сервера свои. Один для статики, один для динамики.


                              1. emusic
                                02.03.2019 23:28

                                А смысл? Какой нужен объем стилевых правил, чтобы использование отдельного сервера дало ощутимый эффект?


                                1. DistortNeo
                                  02.03.2019 23:38

                                  Не могу ответить на данный вопрос — не являюсь веб-программистом. Но то, что практически каждый относительно крупный портал раздаёт статику с отдельного сервера с отдельного домена — факт.


                                1. Areso
                                  03.03.2019 13:19

                                  Там же не только CSS. Как правило, это cdn компании, там и картинки, и CSS, и JS-ки.


                                  1. emusic
                                    03.03.2019 13:35

                                    Ну это ж их собственный выбор. Большинство новомодных сайтов откровенно перегружено лишней визуальной информацией и анимацией, поскольку главной целью ставит не решение проблем посетителя, а навязывание ему целей, выгодных компании. Ради этого нехай и возятся со всей сопутствующей лабудой. Реально полезный сайт от такого разделения выиграет очень редко — там гораздо важнее разделение по контенту, явно востребованному посетителем.


    1. demimurych
      01.03.2019 23:33

      Какой валидатор?
      Вас должно беспокоить только то, что пишется в GSC (Google Searсh Console).
      Если вы говорите про онлайн тест от гугла, она работает уже больше чем пол года через пень колоду, и его результаты ни на что не влияют. На них можно не обращать внимание.


      1. emusic
        01.03.2019 23:41

        Гугловский валидатор, активизируемый из той самой GSC.

        Тамошний же Live Page Test работает как раз адекватно — показывает примерно то же, что и любой браузер в окне того же размера, и его выводы совпадают с выводами всех прочих онлайн-тестировщиков страниц.


  1. LevOrdabesov
    01.03.2019 20:31

    ну зачем же так много страйков


    1. bootracer Автор
      01.03.2019 21:23

      Так внутренний голос пробивается сквозь самоцензуру :)


      1. UnrealQW
        02.03.2019 01:01

        Т.е. это такое оформление, которое затрудняет читать текст?


  1. Nomad1
    01.03.2019 20:51
    +7

    Оффтоп - история с антивирусами
    Как-то раз я написал утилиту-лаунчер, которая подменяет в клиенте WoW адрес новостей при запуске. Утилита заняла около 200кб, что мне откровенно не нравилось, поэтому я перенес код на VC6, прикрутил кусочки кода от libctiny и откомпилил с /NODEFAULTLIB. В итоге получилось 3072 байт exe файла, все отлично работало, пользователи счастливы. Ну а затем Avira забила тревогу, а вслед за ней и другие антивирусы: минимальный размер, VirtualProtectEx, подключение к чужому процессу — явные признаки малвари. Я не мог изменить «опасный» характер работы программы, но и антивирусы были не особо умны в те времена, поэтому все подозрительные импорты я заменил на GetProcAddress, а названия функций побил XORом. Трюк обманул половину антивирусов, кроме особо настойчивых, размер подрос до 4кб. Я боролся с ними еще несколько дней, пока мне не прислали красивую иконку для программы — вместе с этой иконкой программа занимала 25кб и успешно проходила проверку всех антивирусов, включая и VirusTotal.


    1. mSnus
      02.03.2019 18:21
      +1

      святая иконка, раз бесов изгнать сумела!


    1. CoolCmd
      02.03.2019 19:00

      та же фигня. написал несколько прог, у которых стандартная библиотека была заменена на простую самописную. правда, в чужие процессы они не лезли. и всегда находилась пару тупых антивирусов, которые находили в них что-то подозрительное. но так как проги были бесплатные и даже без доната, незаметных галочек в установщике и мелкого шрифта в политике конфиденциальности, то я на эти ложные срабатывания клал член.


    1. ads83
      02.03.2019 19:55
      +2

      Лет 10-15 назад был случай еще интереснее.
      Антивирус Касперского вдруг решил, что самописный bat-файл — это вирус. Вчера вируса не было, а сегодня — появился! В батнике, делающем бэкапы и останавливающем серверное приложение! Пришлось добавлять в исключения.
      А в один прекрасный момент антивирус решил, что в главном .exe-шнике этого приложения завелся вирус. Дата обновления антивирусных баз — позавчера, приложения — месяц. Почему сработал сегодня, а не вчера? Добавил в исключения, но через месяц антивирус его снова скушал. Тот же файл!!! Почему, как — непонятно, да и давно это было. Помню, что писал инструкцию: если сервер утром не работает, проверить что «поймал» антивирус.


  1. HerrDirektor
    01.03.2019 21:28
    +7

    Я вам больше расскажу — хотите за 10 минут времени создать проблемы почти любому сайту (ну кроме крупных, жирных и очень известных)?
    Добро пожаловать на phishtank.
    Регистрируем 8-10 аккаунтов (потребуется только емейл для подтверждения), выбираем понравившийся сайт, добавляем его с одного аккаунта в базу фиштанка (для усложнения жизни владельцу можно в форму при добавлении какое-нибудь письмо с рекламой гей-порно с карликами засунуть).
    Оставшимися аккаунтами голосуем за фишинг, пока нам не напишут «This is phish site!».
    Готово. Сидим и ждем. Хотя для закрепления успеха можно добавить и http:// и https:// и со слешем на конце и без слеша, или с двумя слешами. А если совсем времени много, то еще и ссылки можно на сайте подобавлять. Зачем? А вот зачем:

    Через 6-12 часов подтягивается Аваст и берет оттуда данные. Через 24-48 часов данные расползаются по всевозможным «антивирусам» — comodo, bit defender, clean mx, CRDF, CyRadar… Откуда потом подсасывает данные долбаный virustotal.
    Разумеется, НИКТО не проверяет достоверность данных, всем глубоко похрен.

    И как результат, большинство «антивирусных» расширений для браузеров, бесплатных антивирусов и другого ПО начинает на указанный сайт ругаться всевозможными способами, от красных табличек, до полноценных страниц, вещающих о том, что сайт страшно опасен и перейти туда смерти подобно.

    И чтобы разгрести эти авгиевы конюшни, приходится каждому из этих «антивирусов» писать в техподдержку. На КАЖДУЮ ссылку! Аваст реагирует довольно быстро, остальные тупо складывают известный орган.
    Но даже если сойдутся звезды и получится вычистить сайт из баз антивирусов, то «мега-ресурс» virustotal совершенно это не заботит. Нет тебя в базе phishtank'а? Да пофиг, когда-то же был, будем показывать что есть. Нет тебя в bit defender? Не беда, все равно покажем, что был.
    Соответственно, любое ПО или сервис, ориентирующийся на virustotal, будет до скончания веков показывать, что на сайте все плохо. Можно долго и планомерно долбить этот убогий ресурс и может быть повезет оттуда вылезть. Но может и не повезти.


    1. bootracer Автор
      01.03.2019 21:42

      Спасибо!
      Не знал про него.

      Сталкивался с urlhaus.abuse.ch.
      Достаточно только Twitter аакунт, чтобы начать броться с вирусами и в том числе можно совершенно анонимно и бездоказательно обвинить любой файл.
      Эти друзья рассылают письма хостерам, которые принимают все за чистую монету и блокируют аккаунты.


      1. HerrDirektor
        02.03.2019 03:22

        Да я тоже несколько месяцев назад узнал. После того, как школоте отказали в оплате за «защиту от DDoS-атак», те безуспешно погрызли несколько сайтов и обозлившись добавили их в этот фиштанк по описанной схеме, а оттуда это расползлось повсюду. До сих пор половина сайтов на вирустотале висит и никто из тамошних админов не чешется что-то делать.
        Пришлось переезжать на другие домены, с перетягиванием ссылочной массы, т.к. посещения упали в разы.

        Вот вам и «свободный интернет, регулируемый сообществом». На вирустотале кстати можно еще подгадить сотней-другой голосов и/или каментов в разделе комьюнити. Разумеется, с примитивнейшей регистрацией через почту. Вроде тоже влияет на рейтинг.


        1. F376
          02.03.2019 13:41

          virustotal в 2012 году был перекуплен Google.


  1. esc
    01.03.2019 21:32

    Был опыт бодания с Гугловым антивирусом.

    На что ругался
    Опытным путем выяснилось, что вредоносным помечался js код, где была отправка sendBeacon с содержимым в виде base64(json данных). На эти же данные но без base64 не ругался. Судя по всему, какие-то символы в json совпали с сигнатурой. Идиотизм, в общем.


    1. bootracer Автор
      01.03.2019 21:57

      Спасибо за информацию.
      Корень проблемы в том, что свой «эвристик» детект GSB выдает за 100% точный.
      Хотя это всего лишь повод посмотреть специалисту.

      Google Safe Browsing как-то несколько лет назад забанил свой googleapis.com, с которого многие грузили JQuery и т.п.


  1. daggert
    01.03.2019 21:57

    У меня гугль стал помечать мой сайт опасным после того как я отказался от загрузки гугловских шрифтов и сменил их на локальные (были причины). Аккурат через пару дней — «аяяй, ваш сайт завирусован». Что только не делал — не получилось убрать нотификейшн.


    1. bootracer Автор
      01.03.2019 22:00

      Многие съехали с хостинга скриптов гугла на CloudFlare CDN.


  1. helgp
    01.03.2019 22:13

    Так это же самый настоящий Выключатель Интернета.


    1. bootracer Автор
      01.03.2019 22:14

      Вы попали в точку!


  1. maxkomp
    01.03.2019 22:54
    +1

    Припоминаю, были несколько лет назад какие-то конфликты у антивируса Аваст с программами на старой версии компилятора Delphi. Антивирус ругался при попытке запуска неподписанной программы с съемного носителя. Даже если эта программа содержала один единственный Return. А при запуске с жесткого диска или с сетевого — никаких вопросов у него не возникало.
    Вылечилось это просто, при обновлении версии Аваста.

    Ну вот мой личный опыт общения с гуглом:

    Несколько лет назад я в составе команды занимался разработкой девайса для автоматизации пищевой промышленности. Команда состояла из пяти человек (кто-то делал слаботочную электронику, кто-то силовую, кто-то чертежи рисовал, лично я там софтом занимался). И все мы не рядом находились, а почти в разных городах. Встречались раз в неделю. В результате, по просьбам трудящихся, вся техническая информация о потрохах этого прибора, которая была необходима для взаимодействия разных членов команды (начиная от распайки разъемов, цветов проводов, форматов файлов, синтаксиса команд, кодов сообщений об ошибках, и заканчивая алгоритмами и математическими формулами для обработки данных) хранилась у нас в виде набора документов Google. Ссылки на документы были у всех заинтересованных, то есть все могли быстро уточнить необходимые детали, а также имели возможность что-то добавить/подправить при необходимости. И все мы были счастливы, пока…
    … в один не очень прекрасный момент тов Гугль закрыл нам доступ к одному из этих документов. Втихаря, вероломно и без объявления войны. Под тем предлогом, что документ «содержит противоправную информацию».
    Пришлось писать в службу поддержки. Дня через два точно так же втихаря доступ к документам вернули. Что уж там Гугль там нашел такого «противоправного» — осталось для нас тайной. То ли им не понравилась формула для пересчета напряжения термопары в температуру, то ли мои выкладки по решению систем уравнений подозрительными показались. (А там весь документ в таком духе и был составлен)

    Могли бы и извиниться, вообще-то. Видимо, настроить бота чтобы письмо отправить, оказалось для них слишком сложно.

    Но в нашем случае проблема решилась просто: телефонным звонком коллеге и отправкой по е-mail копии документа. А вот когда сервис блокируют — это и врагу не позавидуешь.


    1. bootracer Автор
      01.03.2019 23:15
      +1

      Я еще помню время, когда от Google приходили человеческие ответы и знаю людей, которые тоже их получали :-) Давно это было.
      Появилась тенденция миграции с Gmail на Protonmail.


      1. jeConf
        02.03.2019 13:29

        Ага! Значит, я мигрировал по этому маршруту не просто так, а вместе с тенденцией. Надеюсь, что тенденция не слишком широкая, потому что широкие тенденции в итоге убивают хорошие сервисы и приходится опять мигрировать…


    1. Kwisatz
      02.03.2019 06:56

      На самом деле они и сейчас отвечают. Тем кто платит им бабульки.


  1. Areso
    01.03.2019 22:58

    У меня была подобная проблема, с Microsoft SmartScreen и программой, написанной на Delphi. Так глубоко, как автор, я не копал — установок было мало, профита было ровно 0, просто забил на это дело. ПО не было подписано — соответствующий сертификат покупать я не собирался ни тогда, ни сейчас.


    1. bootracer Автор
      01.03.2019 23:17

      Новые программы без подписи автоматом получают предупреждение «редко используемая программа» и блокируются как Google так и Microsoft.


      1. Areso
        01.03.2019 23:57
        +2

        Т.е. вымогают покупать воздух у профессиональных торговцев воздухом.


  1. KanuTaH
    02.03.2019 01:16

    В письме от Google предлагали отправить апелляцию, что я немедленно и сделал.
    Через два часа пришел ответ, что апелляция отклонена.

    И никаких комментариев к ответу.

    Знакомо, знакомо. Google… Google never changes.


    1. dave2
      02.03.2019 19:05

      Как раз Гугл сильно изменился. Только не в лучшую сторону.


  1. rboots
    02.03.2019 01:38
    +1

    Отличный прецидент, чтобы подать на Google в суд за ущерб деловой репутации.


    1. Ezhyg
      02.03.2019 10:15

      Каждый хороший юризд знает — слово пренциндент пишецо только так!


  1. Arris
    02.03.2019 02:24

    «Корпорация добра» она такая. Она лучше вас знает, что для вас является добром.

    Что? Ваше мнение отличается? Пожалте в бан, если вы не с нами, вы против нас. А значит — зло.


  1. F376
    02.03.2019 02:44
    -1

    Как организовать полную слежку, как узнать абсолютно любой адрес, куда пользователь заходит, и когда? Хэши почти всех url в сети знает именно Google и по-совместительству FBI, с которым Google открыто сотрудничает и у которого на территории США находятся огромные Data-центры. Нужно хэшировать URL'и браузера и отсылать их в Google.
    Всё якобы чисто, это же не посещаемые URL'и отсылаются, верно? Отсылаются только хэши. Но см. выше, что знает Google о хэше каждого url в интернет.
    Но не думайте, это не слежка, это «Safe Browsing». Всё только для пользы. Даром!
    P.S.
    Коня данайцы вкатили примерно на ~1300 году до нашей эры, т.е. 3319 лет назад.
    Жрец Лаокоон, увидев этого коня и зная хитрости данайцев, воскликнул: «Что бы это ни было, а бойтесь данайцев, даже дары приносящих!» (Quidquid id est, timeo Danaos et dona ferentes!) и метнул копьё в коня…


    1. a5b
      03.03.2019 03:51

      Google уверяет, что проверяет URL сайтов только по хэшу и локально на клиенте, а не на сервере.

      И это уверение можно проверить (в Firefox/Chromium) прежде чем разводить теории заговора и теории тотальной слежки. У google safe browsing версии 4 (от мая 2016 года) два варианта api — https://developers.google.com/safe-browsing/v4/Lookup API(клиент отсылает полный адрес без каких-либо хэшей! ) и Update API (клиент скачивает базу и проверяет по ней локально — для быстрой и частой проверки, в частности в браузерах).


      Firefox использует локальную базу — https://wiki.mozilla.org/Security/Safe_Browsing/V4_Implementation (зайдите в каталог с профилем firefox и проверьте путь safebrowsing/google4/{goog-phish-proto,goog-unwanted-proto,goog-malware-proto,goog-downloadwhite-proto,goog-badbinurl-proto}.{metadata,pset} — должно быть около 6 МБ).
      Chromium использует локальную базу https://www.chromium.org/developers/design-documents/safebrowsing — "Checking the safe browsing database is a multistep process. The URL is hashed and a synchronous check against the in-memory prefix list is done. If no match is found, the URL is considered safe immediately. If the prefix matches, an asynchronous request is made to the safe browsing servers for a list of all full hashes matching that prefix. Once the list is returned, the full hash is compared against the list and the URL request can be continued or cancelled."


      В предыдущих версиях и в Update API применяются вероятностные структуры. Ранее это были локальные фильтры блумаhttps://www.quora.com/Why-did-chromium-move-away-from-Bloom-Filters-in-Safe-Browsing и собственные вариации на данную тему https://bugs.chromium.org/p/chromium/issues/detail?id=71832.
      Проверяемый адрес сначала локально ищется в фильтре или в базе, и только в случае получения ответа "Возможно адрес содержится" производился запрос хэша к серверам гугла (такие фильтры могут давать ложноположительные срабатывания).


      Хэширование у них тоже странное — https://developers.google.com/safe-browsing/v4/urls-hashing — из полного адреса отрезаются лишние поля и символы, затем генерируется 5 сокращений для имени хоста и 6 сокращений для пути на сайте. В роли хэша выступают первые 4 байта от SHA256 (4 млрд возможных значений), т.е. по данному огрызку хэша обязательно будут коллизии и итоговое сравнение полных хэшей производит браузер.
      https://developers.google.com/safe-browsing/v4/update-api#checking-urls


      To check if a URL is on a Safe Browsing list, the client must first compute the hash and hash prefix of the URL (see URLs and Hashing). The client then queries the local database to determine if there is a match. If the hash prefix is not present in the local database, then the URL is considered safe (not on the Safe Browsing lists).

      If the hash prefix is present in the local database (a hash prefix collision), the client must send the hash prefix to the Safe Browsing servers for verification. The servers will return all full-length SHA 256 hashes that contain the given hash prefix. If one of those full-length hashes matches the full-length hash of the URL in question, then the URL is considered unsafe. If none of the full-length hashes match the full-length hash of the URL in question, then that URL is considered safe.

      Схемы работы старой версии API (фильтр блума, при совпадении отправляем серверу огрызок хэша, получаем полные хэши с таким префиксом от сервиса и проверяем полные хэши локально) — https://habr.com/ru/company/yandex/blog/127265/ "В Яндекс отправляются только префиксы хешей некоторых масок, которым соответствуют URL просматриваемых страниц, это происходит примерно в 1% случаев просмотра страниц."


      Можете открыть developer tools + wireshark + ssl proxy при посещении http://testsafebrowsing.appspot.com/ и изучить реальные запросы.


  1. yayashitoya
    02.03.2019 08:08

    Но это не самое страшное.

    Беда в том, что ошибка не единичная. От нее страдаю не только я.


    Это как раз вам повезло.
    На единичное обращение они не отреагируют.

    А вот на массовое — другое дело.

    Так что вам очень повезло, что ошибка массовая.


    1. bootracer Автор
      02.03.2019 13:17

      Да, я согласен.


      1. F376
        02.03.2019 14:11

        Не совсем понятно, с чем вы согласны. Все же, «массовость» означает обычно больше чем несколько единиц.

        Давайте выскажем догадку, как может быть спроектирована система Google в общих чертах.
        Система обладает эвристикой. Исходный параметр эвристики — рейтинг страницы (т.е. расчетная позиция среди всех страниц/сайтов сети, Google ее ведет).
        Должен существовать нижний шумовой порог. Он, как минимум, порядка нескольких единиц, (2..3), иначе система будет непригодна.
        Граница срабатывания эвристически-адаптивна и для «мелочи» она будет опять же ничтожна, в пределах десятка. Это будет никак не «массовость», не тысячи, не сотни и даже не десятки.
        А отсюда — в случае сайтов с малым рейтингом срабатывание легко вызвать «руками». Выше это подтверждают.


        1. bootracer Автор
          02.03.2019 19:11

          Согласен с тем, что повезло.


  1. DarkByte
    02.03.2019 08:49

    Сразу вспомнился случай с антивирусом NOD32, который на одном из поддоменов моего сайта нашёл вирус в .txt файле и подумал, что неплохо было бы из-за этого добавить домен вместе со всеми поддоменами в чёрный список. И видимо от них же яндекс подхватил инфу о вредоносности домена и добавил соответствующую плашку в выдаче. В итоге, от момента удаления файла и до того, как домен удалили из базы прошло около двух недель переписки с саппортом. Ну и конечно же, никаких уведомлений, предупреждений, предложений обжаловать от NOD32 не поступало. О проблеме узнал от своих пользователей.


    1. yayashitoya
      02.03.2019 15:20

      О проблеме узнал от своих пользователей.

      Которые по счастию оказались достаточно лояльными и достаточно настойчивыми и достаточно заинтересованными в вашем сайте.


  1. Vilaine
    02.03.2019 09:10

    У меня такая же проблема случилась с читалкой подписок, установленной на личный VPS и доступной по паролю только мне по IP-подобному URL. Блокирует мне доступ к сайту с "Send visitors to harmful websites". Как быстро это починить я не знаю, просто скипаю красный экран каждый раз. Очень «удобная» функция.


  1. OasisInDesert
    02.03.2019 09:48

    Вот дела, да уж, тут не позавидуешь тому кто столкнется. Похоже на плохую реализацию хорошей идеи. А чей то бизнес может притормозить.


  1. Bedal
    02.03.2019 10:16

    Зато китай гасит goo.gl
    image


  1. altervision
    02.03.2019 10:30

    Уже который год бодаюсь с Гуглом из-за такой же проблемы. И главная беда в том, что в отчёте по безопасности Гугл не предоставляет ни единой ссылки, ни единого примера хоть какой-то проблемы. Что именно Гугл считает вредоносным — определить так и не удалось.


    1. bootracer Автор
      02.03.2019 13:18

      Напишите какой у вас WNC проблемы?
      Пробовали отправить через Chrome, Report an Issue?


  1. Miron
    02.03.2019 10:58

    Как насчёт того, чтобы просто заблокировать все IP-адреса гугла на своём ресурсе? Нет гугловых ботов — нету и никакой критики содержимого сайта, зачем вам мнение гугла о ваших продуктах, когда его не спрашивают?


    1. DistortNeo
      02.03.2019 14:39

      Если не смущает, что тогда сайт пропадёт из поиска, тогда да, можно так делать.


      1. SamsonovAnton
        02.03.2019 18:37

        Может, просто прописать в robots.txt запрет конкретно на скачиваемые файлы? Или робот GSB игнорирует указания из robots.txt?


        1. bootracer Автор
          02.03.2019 19:13

          GSB видит какие файлы и откуда скачивают пользователи.
          Robots их не касается.


  1. DmitrySpb79
    02.03.2019 11:03

    С антивирусами всегда так было. Не знаю насчет гугла, но еще лет 5-10 назад, когда я писал софт под Windows, антивирус на хостинге постоянно ругался на разные системные DLL, лежащие в архиве с программой:

    В ходе плановой проверки на Вашем аккаунте было обнаружено подозрительное, потенциально вредоносное, содержимое.
    Ниже приведены пути к найденным файлам, а также их описание:
    /home/user/www/site1/public_html/.../archive.rar (Rar.Suspect.WinDoubleExtension-rarpwd-3)

    Это является нарушением п. 7.2. Приложения № 3 к Публичной оферте:
    «Заказчику запрещается публиковать или передавать любую информацию или программное обеспечение, которое содержит в себе компьютерные
    «вирусы», иные вредоносные программы или способно нарушить нормальную работу компьютеров, доступных через сеть».

    Правда проблема решалась письмом в службу поддержки в стиле «мамой клянусь тут вируса нет», этого было достаточно. Для такого гиганта как гугл оно понятно, не сработает.


  1. BlenderRU
    02.03.2019 11:22

    На позапрошлой неделе получил письмо от Google с аналогичным содержанием.
    Ругался на обфусцированное приложение .NET, которое лежало на фтп уже лет 6.
    Написал о проблеме на форумах Google с предложением предоставить исходники и настройки обфускации в случае необходимости, но ответа так и не получил, поэтому решил не рисковать, и просто удалил файл :(


  1. culegayot
    02.03.2019 11:23
    +1

    Гугл еще не дает отправлять зашифрованные архивы почтой, не зря Брин на подачки ЦРУ развивался.


    1. BackLaN
      02.03.2019 13:18

      Зашифруйте c помощью PGP и отправляйте.


  1. vitaliy2
    02.03.2019 12:38

    Варианты с фолсами по Delphi и Inno Setup были и раньше известны.
    Кто-то поюзал инсталлятор для создания вирусов (естественно, не один раз) и теперь Google считает это за вирус. Потому что зачастую это действительно вирус. Похожие истории уже были, вроде.


    1. bootracer Автор
      02.03.2019 13:26

      Я тоже так подумал сначала.
      Но тогда пострадало бы еще много программ.
      Предполагаю, что детект идет по поведению на сайте и по предположениям нейросети.


  1. Kicker
    02.03.2019 14:30

    Вопрос, а если выкладывать сами файлы на популярные хранилища, гитхаб и тому подобные?


  1. Londoner
    02.03.2019 14:53

    Давайте тут соберём коллекцию мейлов (а можно и телефонов) всех гугловых менеджеров любых уровней, чтоб жертвы идиотизма могли им спамить о проблеме.


    1. geoolekom
      02.03.2019 17:58

      Ларри Брин, +7 925 162-94-00, larry@google.io


  1. firk
    02.03.2019 17:33

    Вешайте на сайт плашку с инструкциями как отключить GSB во всех браузерах. Не в качестве противодействия их деятельности конкретно против вас, а в качестве способа хоть немного уменьшить популярность их некачественного и шпионящего сервиса.


    1. bootracer Автор
      02.03.2019 19:17
      +1

      Если инстуркция будет висеть на заблокированном сайте — ее никто не прочитает.
      И любые инструкции читает минимальное число пользователей.

      Дополнительная галочка при установке немного эффективнее.


      1. firk
        04.03.2019 00:17

        Так сайт вы по-любому захотите разблокировать, так что наверно он всё же будет незаблокированным спустя какое-то время. Так что это будет инструкция на незаблокированном сайте.
        Читает может и мало кто, но если много где вешать — вероятность прочтения (и вероятность отказа от GSB, которая ещё ниже, но связана с первой) повышается.


  1. fomiash
    02.03.2019 19:18

    С тех пор как Яндекс заносил один из моих сайтов в заражённые вирусом (в поиске сайт был помечен как опасный), ничему не удивляюсь. Как оказалось — эти сведения брались яндексом по результатам исследования левого ресурса(!).
    Последний раз Яндекс так-же необоснованно занёс один из сайтов в бан (Дорвей), решилось за пару дней через переписку с техподдержкой. При этом оснований вообще никаких не было, голые страницы html без js. Тогда я подумал, ну раз уж у Яндекса такая жесть, вся надежда на Гугл…


    1. Vilgelm
      03.03.2019 06:37

      Была такая же проблема с Яндексом. Начал выкидывать сайт из поиска, в консоли ссылался на дорвейные страницы, которых не было (какие-то левые ссылки, как будто с другого сайта). Подал аппеляцию (или как это там называется, в общем отправил сайт на перепроверку), первый раз отклонили, второй раз подтвердили.


  1. rez0n
    02.03.2019 19:18
    +3

    GSB пожалуй победитель в номинации «Самое бесполезное творение человека». Всегда, когда он срабатывал на моей памяти — это был False Positive случай, при этом явная малварь всегда чиста.


    1. bootracer Автор
      02.03.2019 19:20
      +1

      Согласен на 100%.
      За 11 лет существования GSB видел его алерты считанное число раз на хакерских форумах.
      Все сайты с вредной нагрузкой, майнеры, адварь живет привечаючи.


  1. teleghost
    02.03.2019 19:55
    +1

    меня дома Гугл тролит своей капчей, регулярно, а РКН в прошлом году тролил Амазон; монополист будет беспределить, так устроен этот грёбаный мир, но самое странное и беспощадное — отсутствие обратной связи, безответственность крупных игроков.


    файлы с установкой видимо, лучше хостить на специальных площадках, где репутация домена условно-высокая по версии этих самых монополистов… Есть такие сервисы? Может, на CDN?


    по технике: такого рода системы (типа GSB) действительно запоминают URL, порой без проверки фактического содержимого (см ниже), но у них дифференцированный (и совершенно непрозрачный) подход к репутации сайта/домена, причем "вредоносные" ссылки на странице резко ухудшают домен, цепная реакция. Опасайтесь также выкладывать что-либо на новые, недавно зарегистрированные домены, это может вызвать ещё больше срабатываний.


    Почему не проверяют содержимое? Увы, сейчас проверить вредоносность выполняемого файла очень ресурсоемко (из-за криптооберток), и VirusTotal вообще никакой гарантии не даёт, только вероятность.


    Удачи Вам.


  1. extempl
    02.03.2019 22:24

    Может кто-то уже предлагал выше, но всё же. Если первопроблема именно в ссылках (а потом уже в файлах) — возможно стоит попробовать генерировать уникальные ссылки для скачивания. Может каждую загрузку страницы, может каждые 100 скачиваний.
    Тогда GSB будет постоянно их помечать как новые и, может, подозрительные, но не будет такого трафика на одну ссылку чтоб однозначно помечать их как опасные.


    1. SamsonovAnton
      02.03.2019 23:08

      Ещё можно попробовать отдавать файлы через метод POST вместо GET — роботы-то вроде не должны делать POST-запросы.


  1. Vilgelm
    03.03.2019 06:46

    У Ammy Admin видимо такая же проблема с GSB, поэтому они не дают скачивать файлы со своего сайта с использованием Chrome и Firefox. При этом сам сайт вредоносным не помечен.


    1. Areso
      03.03.2019 13:24
      +1

      Ammy Admin был взломан несчетное число раз.
      xakep.ru/2018/07/12/ammyy-admin-site-hijack


  1. vikarti
    03.03.2019 07:07

    Ждем исков к Гуглу с требованием заблокировать не даже не рутрекер а sci-hub и все зеркала, сайты вида whereisscihub.now.sh — тоже блокировать (за ссылки).
    Ну и отдельных исков (уже от Роскомнадзора) чтобы блокировали ну очень опасную для детей информацию (вроде списка наркотиков в EVE Online, если кто-то не играл — да, в игре они прописаны, прямо сказано что использование — незаконно по внутримировым правилам, и дают далеко не только бонусы, просто в некоторых случаях — оно того стоит) не только в поиске (о чем уже пробуют) а прямо через этот API.

    А вообще был и положительный опыт несколько лет назад — на сайте лежал подписанный .exe-файл, качался пользователями (малым количеством но с разных мест), файл запакован VMProtect'ом (честно купленным), внутри куча вещей системного уровня (например — 'объяснение' вообще левому процессу что на диске якобы есть определенные файлы и надо бы их обработать) + лазание в сеть. От пользователя оно не маскировалось. И никаких проблем. Максимум — фолсы от редких антивирусов вида «запакованный файл».