6

我在开发网站的 Chrome 浏览器中遇到了“检测到网络钓鱼”警告。有趣的是,我在 Firefox 或 Safari 中没有遇到相同的警告,尽管据我所知,它们使用的是相同的网络钓鱼数据库(尽管在 Safari 偏好设置中显示“谷歌安全浏览服务不可用”)。我也没有在生产站点的同一页面上遇到警告。

它首先出现在我创建的新帐户验证页面上,其中要求用户使用GetVerifiedStatus API确认他们的 PayPal 帐户。这只需要姓名和电子邮件。

我还在配置页面上遇到了警告,该页面询问用户希望接收付款的 PayPal 电子邮件地址。

这两个页面都没有要求提供密码或任何其他被视为机密的数据。

正如您可能收集到的那样,我已经将内容的 PayPal 部分的潜在误报归零,就好像我正在钓鱼以获取付款人电子邮件地址之外的 PayPal 信息。没有恶意代码注入或任何类似的事情。即使我从页面中删除了所有内容,警告仍然存在。

我向谷歌报告了第一次错误检测,并打算对第二次事件做同样的事情,但我真正想澄清的是:

  1. 哪些内容会导致此警告?
  2. 以后怎么避免呢?
  3. 我如何从阻止 url 的“当局”获取一些信息?(网站管理员工具未显示开发站点的警告)
  4. 如果我想重新测试,如何刷新本地缓存的“坏站点”?

显然,在生产站点上向用户显示大量红色警报将是灾难性的,并且(可能是故意的)缺乏有关此安全浏览服务实际工作方式的信息。

4

2 回答 2

5

我一直在为银行软件开发人员开发一个网站,并且也遇到了网络钓鱼警告。与您不同,我的任何代码中都没有 PayPal 关联,除了一个简单的联系表格外,甚至没有任何数据收集。以下是我设法解决我的误报警告的一些事情。

1)Chrome中的警告(红色渐变背景)是Chrome浏览器本身内置的检测方法,不需要检查任何黑名单即可发出警告。事实上,谷歌自己声称这是他们发现新的潜在有害网站的方法之一。当您的网站实际上在黑名单上时,您会看到另一个红色警告屏幕,背景中有对角线。这解释了为什么您只在 Chrome 中看到警告。

2)实际触发此警告的原因显然是隐藏的。我找不到任何可以帮助我调试网站内容的东西。您已经完成了很多工作,因此对于其他需要帮助的人,我必须隔离我网站的各个部分,以查看是什么触发了警告。由于我正在开发的网站的性质,结果证明它是内容本身中单词和短语的组合。(例如银行解决方案、网上银行、手机银行)。单独它们不会触发任何东西,但是当它们一起加载时,chrome 会做它的事情。所以我不确定你的触发器是什么,甚至可能的触发器列表是什么。对不起...

3)我发现只需完全退出 Chrome 并重新启动它就会重置“缓存”,以确定它是否曾经检测到一个页面。我关闭了数百次 Chrome,同时达到了我的警告的底部。

这就是我所拥有的一切,希望它有所帮助。

更新:我的暂存区是通过 IP 地址访问的。一旦我将站点移动到使用域,而不是所有警告都在 chrome 中停止。

于 2013-10-29T02:13:23.080 回答
1

我今天在为我的 Web 服务器客户创建 SSL 测试报告时也遇到了同样的情况。我所拥有的只是这样的:

“将我们服务器的 SSL 结果与一家知名银行及其网上银行服务的结果进行比较”。我只是想表明银行网站的评级为 B,而我们的网站评级为 A-。

我有两张来自 SSL-Labs 的图像(一张是我的服务器的结果,另一张是银行的结果)。没有输入字段,没有任何其他网站的链接,也没有关于银行名称的措辞。

一个 h1,两个 h2 标题和两个段落加上两个图像。

我将 HTML 移至页面并在我的 Chrome 浏览器中打开它。Web 服务器日志告诉我,Google 服务在我第一次预览后20 秒后加载了该页面。到目前为止,没有人见过它。网络钓鱼网站警告在不到一个小时内就出现在了我(网站管理员)的面前。

所以在我看来,该死的浏览器正在做出决定并向谷歌报告,然后谷歌会自动检查并阻止该网站。所以该网站正在通过谷歌工具向谷歌报告,试验由谷歌运行,判决由谷歌给出。非常非常不错。

于 2014-04-10T16:26:11.627 回答