Sucuri：Google开始将部份基于HTTP的网站纳入黑名单

Sucuri

资安业者Sucuri上周指出，他们发现某些被列入Google黑名单的网站只是因为採用了HTTP，而未採用加密的HTTPS通讯协定。

Google所设计的安全浏览（Google Safe Browsing）机制每天会检查数十亿个网址，并将不安全的网站列入黑名单，此一黑名单除了供Google搜寻及Chrome浏览器使用外，也被Safari、Firefox及Opera的等其他浏览器採用，Google会于搜寻结果中过滤这些黑名单网站，而各大浏览器则会在使用者造访这些网站时跳出警告讯息。

Sucuri安全分析师Cesar Anjos说明，他们在清理完客户的网站之后，每天大约会提交数百个黑名单审查请求予Google，要求Google将这些网站自黑名单中移除，但他们在最近几个月发现，有愈来愈多被列入黑名单的网站查不出明显违规原因，它们既是乾净的，也未载入外部资源。

其中的一个例子是他们请Googe重新审查一个已清除乾净的网站，但被驳回了两次，后来Sucuri只是导入了SSL，没有作其他的修改，Google就接受了，Sucuri还发现了其他几个相同的案例。

进一步调查后发现，这些网站都是在HTTP页面上提供登入或密码栏位，Sucuri并不确定Google的判断依据，但推测是Google希望填入机密资讯的网页都应採用HTTPS协定。

Google自今年1月推出的Chrome 56开始，就把需填入机密资讯却只使用HTTP协定的网页标示为「不安全」（Not secure），并宣布自今年10月的Chrome 62起，会把所有需填资料的HTTP网页都标示为「不安全」，Anjos认为，也许Google只是在安全浏览机制中採用了更严格的策略。

根据Google的统计，安全浏览机制在最近一周（至5月14日）侦测到1.9万个诈骗网站与1.4万个恶意程式网站，迄今已累积了48.5万个诈骗网站与53.8万个恶意程式网站，且最近一周有1700万名使用者看到浏览器的警告讯息。