我的开发网站上的Chrome浏览器中遇到“网上钓鱼检测到”警告。有趣的是,我在Firefox或Safari中没有遇到相同的警告,尽管据我所知,他们正在使用相同的网络钓鱼数据库(尽管在Safari偏好中它表示“谷歌安全浏览服务不可用”)。我也没有在生产网站的同一页面上遇到警告。
它首先出现在我创建的新帐户验证页面上,其中包括要求用户使用GetVerifiedStatus API确认其PayPal帐户。这只需要姓名和电子邮件。
我还在配置页面上遇到警告,该页面要求用户希望收到付款的PayPal电子邮件地址。
两个页面都没有请求密码或任何其他被视为机密的数据。
正如您可能收集到的那样,我已经将内容的PayPal部分可能存在误报,好像我可能会在付款人电子邮件地址之外钓到PayPal信息。没有恶意代码注入或任何此类事情。即使我从页面中删除了所有内容,警告仍然存在。
我reported第一次向谷歌发现了错误的检测,并打算对第二次事件做同样的事情,但我真正想要澄清的是:
显然,在生产网站上向用户提供大量红色警报将是灾难性的,并且(可能是故意的)缺乏有关此安全浏览服务实际如何运作的信息。
答案 0 :(得分:4)
我一直在为银行软件开发人员开发一个网站,并且还遇到了网络钓鱼警告。与您不同,我的任何代码中都没有PayPal关联,除了简单的联系表单之外,甚至没有任何数据收集。以下是我设法解决我的误报警告的一些事情。
1)Chrome中的警告(红色渐变背景)是Chrome浏览器内置的一种检测方法,它不需要检查任何黑名单来发出警告。事实上,谷歌自己声称这是他们发现新的潜在有害网站的方法之一。当您的网站实际上在黑名单上时,您将获得另一个红色警告屏幕,背景中有对角线。这就解释了为什么您只在Chrome中看到警告。
2)实际触发此警告的内容显然是隐藏的。我找不到任何东西来帮助我调试我的网站内容。你已经做了很多这样的事情,所以对于任何需要帮助的人来说,我必须隔离我网站的各个部分才能看到触发警告的内容。由于我正在研究的网站的性质,它结果是内容本身的单词和短语的组合。 (例如银行解决方案,网上银行,手机银行)。单独他们没有触发任何东西,但是当加载在一起铬时会做它的事情。所以我不确定你的触发器是什么,甚至是可能的触发器列表。遗憾...
3)我发现完全退出Chrome并重新启动它会重置“缓存”,以确定它是否已经检测到某个页面。在关注我的警告时,我关闭了Chrome数百次。
这就是我所拥有的一切,并希望它有所帮助。
更新:我的暂存区域是通过IP地址访问的。一旦我移动网站以使用域,而所有警告都停止在chrome中。
答案 1 :(得分:1)
我为Web服务器客户创建SSL测试报告时遇到了同样的问题。我在那里只是这样的事情:
“将我们服务器的SSL结果与知名银行及其网上银行服务的结果进行比较”。我只想表明银行网站对B进行评级,而我们的评级为A - 。
我有两张来自SSL-Labs的图片(一张是我服务器的结果,另一张是银行的结果)。没有输入字段,没有任何其他网站的链接,绝对没有关于银行名称的措辞。
一个h1,两个h2标题和两个段落加上两个图像。
我将HTML移至该页面并在我的Chrome浏览器中打开它。网络服务器日志告诉我,Google服务在第一次预览后 20秒后加载了该页面。到目前为止,还没有人见过它。钓鱼网站警告在不到一个小时的时间内就传到了我(网站管理员)。
所以在我看来,该死的浏览器正在做决定并向Google报告,然后自动检查并阻止该网站。因此该网站正在通过谷歌工具向谷歌报告,该试验由谷歌运行,判决由谷歌提供。非常,非常好。