Hacker News 中文摘要

RSS订阅

谷歌将Immich网站标记为危险 -- Google flags Immich sites as dangerous

原文链接 | HN讨论 | 2025-10-23 08:58:22

文章摘要

谷歌安全浏览服务误将Immich的*.immich.cloud网站标记为危险,导致用户访问时出现警告页面,使网站几乎无法正常访问。团队对此机制运作方式尚不清楚,已将该问题列入"诅咒知识"清单。

文章总结

标题:谷歌将Immich网站标记为危险站点 | Immich博客

主要内容:

2025年10月20日,Immich团队发现其所有*.immich.cloud域名下的网站被谷歌标记为"危险站点",用户访问时会显示红色警告页面。这一情况源于谷歌的"安全浏览"(Safe Browsing)服务,该服务旨在检测恶意软件和网络钓鱼行为,但判定机制不透明。

影响范围包括: 1. 所有预览环境和内部服务(如zitadel、grafana等) 2. 生产环境的瓦片服务器tiles.immich.cloud(所幸通过JavaScript的请求仍能正常工作)

解决过程: 团队通过谷歌搜索控制台(Search Console)申诉,解释这些是Immich官方运营的自托管服务,并非仿冒网站。虽然申诉在1-2天后通过,但新建的预览环境(格式为[pr-number]-pr.immich.cloud)会再次触发谷歌爬虫的误判,导致整个域名重新被标记。

当前解决方案: 团队计划将预览环境迁移至专用域名immich.build以隔离风险。

行业问题: 谷歌安全浏览服务对开源/自托管软件缺乏考量,类似问题在Nextcloud、Home Assistant等项目中也有发生。该服务能单方面使任何域名无法访问,开发者只能被动申诉。

(注:原文中的图片链接、部分技术细节和项目内部讨论内容已酌情删减,保留了事件脉络和核心问题)

评论总结

总结评论内容:

  1. 对Google域名标记机制的批评

    • 用户donmcronald批评Google的自动标记系统缺乏透明度,导致其25年无不良记录的域名被错误标记为恶意网站。
      引用:"Google systems indicate your domain no longer contains harmful links or downloads... It's actually Google's crappy, non-deterministic, careless detection"
      引用:"I suspect my flagging was the result of failing to use a large email provider"
    • 用户trollbridge提到类似经历,指出域名被错误标记后即使通过审核,邮件黑名单仍可能永久存在。
      引用:"Google would no longer accept email from them... the email blacklist appears to be permanent"

  2. 技术解决方案建议

    • arccy建议将网站加入Public Suffix List以避免子域名污染影响主域名。
      引用:"you should probably have your site on the Public Suffix List"
    • Animats提问是否可通过robots.txt阻止搜索引擎抓取内部子域名来解决问题。
      引用:"If you block those internal subdomains from search with robots.txt, does Google still whine?"

  3. 潜在安全风险讨论

    • kevinsundar质疑Immich的PR预览功能可能被滥用为任意内容托管服务。
      引用:"Doesn't that effectively let anyone host anything there?"
    • renewiltord指出使用常见前缀的子域名(如gmail.shady.info)易触发反钓鱼机制。
      引用:"if you do well-known-domain.yourdomain.tld then you're likely to get whacked"

  4. 背景信息补充

    • jakub_g分享Chromium团队关于Google安全浏览技术原理的文章。
      引用:"the browser regularly downloads a dump of color profile fingerprints of known bad websites"
    • NelsonMinar推荐Immich团队的"Cursed Knowledge"资源列表。
      引用:"Be sure to see the team's whole list of Cursed Knowledge"

  5. 相关案例参考

    • captnasia和trollbridge分别提供其他托管服务遭遇类似问题的案例。
      引用:"another hosting site that got caught out by this recently"
      引用:"some kind of WordPress type of hosting service... got on the bad sites list"