Sucuri：Google開始將部份基於HTTP的網站納入黑名單

資安業者Sucuri上周指出，他們發現某些被列入Google黑名單的網站只是因為採用了HTTP，而未採用加密的HTTPS通訊協定。

Google所設計的安全瀏覽（Google Safe Browsing）機制每天會檢查數十億個網址，並將不安全的網站列入黑名單，此一黑名單除了供Google搜尋及Chrome瀏覽器使用外，也被Safari、Firefox及Opera的等其他瀏覽器採用，Google會於搜尋結果中過濾這些黑名單網站，而各大瀏覽器則會在使用者造訪這些網站時跳出警告訊息。

Sucuri安全分析師Cesar Anjos說明，他們在清理完客戶的網站之後，每天大約會提交數百個黑名單審查請求予Google，要求Google將這些網站自黑名單中移除，但他們在最近幾個月發現，有愈來愈多被列入黑名單的網站查不出明顯違規原因，它們既是乾淨的，也未載入外部資源。

其中的一個例子是他們請Googe重新審查一個已清除乾淨的網站，但被駁回了兩次，後來Sucuri只是導入了SSL，沒有作其他的修改，Google就接受了，Sucuri還發現了其他幾個相同的案例。

進一步調查後發現，這些網站都是在HTTP頁面上提供登入或密碼欄位，Sucuri並不確定Google的判斷依據，但推測是Google希望填入機密資訊的網頁都應採用HTTPS協定。

Google自今年1月推出的Chrome 56開始，就把需填入機密資訊卻只使用HTTP協定的網頁標示為「不安全」（Not secure），並宣布自今年10月的Chrome 62起，會把所有需填資料的HTTP網頁都標示為「不安全」，Anjos認為，也許Google只是在安全瀏覽機制中採用了更嚴格的策略。

根據Google的統計，安全瀏覽機制在最近一周（至5月14日）偵測到1.9萬個詐騙網站與1.4萬個惡意程式網站，迄今已累積了48.5萬個詐騙網站與53.8萬個惡意程式網站，且最近一周有1700萬名使用者看到瀏覽器的警告訊息。