Pada akhir September 2025, sebuah penyedia hosting mendapati keseluruhan domainnya disekat oleh Google Safe Browsing, mencetuskan debat hangat mengenai infrastruktur internet, kuasa korporat, dan cabaran hosting kandungan yang dihasilkan pengguna. Insiden ini mendedahkan kebimbangan mendalam tentang bagaimana sistem keselamatan automatik memberi kesan kepada perkhidmatan yang lebih kecil dan sama ada penyelesaian semasa menangani skala hosting web moden dengan secukupnya.
Peristiwa Yang Mencetuskan Perbualan
Satu perkhidmatan hosting statik mendapati domain utamanya telah ditandakan sebagai menipu oleh Google Safe Browsing, menjejaskan semua tapak di bawah domain itu selama lebih kurang enam jam. Pencetusnya ialah kemasukan tapak penipuan fesyen yang dicipta oleh pengguna pada subdomain platform hosting tersebut. Ini membawa kepada perbincangan komuniti tentang sama ada tindak balas Google itu sesuai atau menunjukkan kawalan berlebihan ke atas kebolehcapaian internet.
Perbualan itu mendedahkan bahawa insiden serupa bukanlah perkara luar biasa. Seorang pengulas menyatakan: Saya mempunyai *.domain.tld dihalakan ke alamat IP dalaman, dan sejak beberapa tahun kebelakangan ini ia berlaku beberapa kali di mana beberapa subdomain akan ditandakan sebagai berbahaya oleh Google Safe Browsing. Corak ini mencadangkan bahawa sistem keselamatan automatik kerap menghasilkan positif palsu yang boleh mengganggu perkhidmatan yang sah.
Statistik Impak Google Safe Browsing:
- Melindungi lebih 5 bilion peranti di seluruh dunia
- Boleh menyekat akses kepada keseluruhan domain dan subdomain
- Proses semakan biasanya mengambil masa beberapa jam untuk penyelesaian
- Memberi kesan kepada pelayar utama termasuk Chrome, Firefox, dan Edge
Debat Senarai Akhiran Awam
Sebahagian besar perbincangan teknikal berpusat pada Senarai Akhiran Awam (Public Suffix List atau PSL), sekeping infrastruktur web yang kritikal tetapi sering diabaikan. PSL membantu pelayar dan perkhidmatan keselamatan memahami domain mana yang menghoskan kandungan daripada pelbagai pihak yang bebas. Apabila sesuatu domain tidak tersenarai, sistem keselamatan mungkin menganggap semua subdomain sebagai milik entiti yang sama.
Proses kelulusan untuk PSL menjadi titik pertikaian. Sesetengah pihak berhujah bahawa penyedia hosting sepatutnya mengetahui tentang keperluan ini dari awal lagi, manakala yang lain menegaskan bahawa anda tidak boleh hanya menambah sebarang domain ke dalam PSL. Anda memerlukan jumlah pengguna yang banyak sebelum mereka akan memasukkan domain anda. Ini mewujudkan situasi tangkap-22 di mana perkhidmatan yang semakin berkembang menjadi terdedah kepada sekatan seluruh domain tepat apabila mereka mencapai ambang kelayakan PSL.
Bagi pembangun web pada tahun 2025 untuk masih tidak mengetahui amalan terbaik keselamatan yang telah wujud selama 20+ tahun adalah satu kegagalan di pihak pembangun tersebut.
Fakta Utama Public Suffix List (PSL):
- Diselenggara di https://publicsuffix.org/
- Membantu pelayar web mengenal pasti domain yang menjadi hos kepada pelbagai pihak bebas
- Memerlukan proses kelulusan untuk kemasukan domain
- Kritikal untuk mencegah sekatan keselamatan merentas keseluruhan domain
- Digunakan oleh semua pelayar web utama untuk keputusan keselamatan
Implikasi Lebih Luas untuk Infrastruktur Internet
Insiden ini menyerlahkan betapa tersentralnya tadbir urus internet kini. Dengan Google Safe Browsing melindungi lebih lima bilion peranti, keputusan automatik sebuah syarikat tunggal secara berkesan boleh menyingkirkan tapak web dari sebahagian besar internet. Pemusatan kuasa ini membimbangkan ramai dalam komuniti teknikal yang menghargai sifat web yang terpencar.
Perbincangan itu berkembang melebihi kes khusus ini untuk meneliti betapa sukarnya bagi individu untuk mengendalikan perkhidmatan web bebas. Seperti yang diperhatikan oleh seorang peserta, Berapa banyak forum baharu yang benar-benar bebas dan dikendalikan individu yang anda boleh namakan hari ini? Hampir tiada. Gabungan cabaran moderasi, risiko DDoS, dan kini ancaman sekatan seluruh domain oleh sistem automatik mewujudkan halangan besar bagi pengendali kecil.
Keselamatan Lawan Kebolehcapaian
Walaupun kebanyakan pengulas mengakui kepentingan melindungi pengguna daripada serangan penipuan fesyen, ramai yang mempersoalkan sama ada pendekatan semasa mewakili keseimbangan yang betul. Sifat automatik sistem ini bermakna positif palsu boleh mematikan perkhidmatan dengan jalan penyelesaian yang terhad. Seperti yang dinyatakan oleh seorang profesional keselamatan yang berpengalaman, Separuh (atau lebih) amaran/peringatan keselamatan adalah positif palsu.
Insiden itu juga mendedahkan perbezaan dalam cara platform besar berbanding kecil dilayan. Beberapa pengulas menegaskan bahawa perkhidmatan utama seperti YouTube atau Facebook tidak menghadapi sekatan seluruh domain apabila pengguna individu menyiarkan kandungan berniat jahat, mencadangkan bahawa skala dan pengaruh mempengaruhi bagaimana polisi keselamatan dilaksanakan.
Amalan Keselamatan Pengehosan Biasa:
- Asingkan kandungan pengguna daripada antara muka pentadbiran menggunakan domain yang berbeza
- Laksanakan sistem moderasi kandungan masa nyata
- Gunakan skop kuki untuk mencegah isu keselamatan merentas subdomain
- Usahakan kemasukan PSL untuk domain kandungan yang dijana pengguna
- Pantau aktiviti berniat jahat 24/7
Melihat Ke Hadapan: Penyelesaian dan Alternatif
Penyedia hosting dalam kes ini telah mula memindahkan kandungan pengguna ke domain berasingan dan mengejar kemasukan PSL. Walau bagaimanapun, pengulas menyatakan bahawa ini hanya sebahagiannya menyelesaikan masalah, memandangkan domain baharu itu masih boleh menghadapi isu serupa sehingga kelulusan PSL selesai. Perbincangan itu juga menyentuh tentang potensi penambahbaikan kepada proses, termasuk API yang lebih baik untuk mengendalikan laporan Safe Browsing dan komunikasi yang lebih telus dari Google.
Sesetengah peserta mencadangkan bahawa isu asas bukan hanya teknikal tetapi sosial - internet telah berkembang ke tahap di mana beberapa entiti besar semestinya memegang kuasa yang besar. Seperti yang dirangka oleh seorang pengulas, Terdapat dua aspek kepada Internet: teknikal dan sosial. Dalam aspek sosial, sentiasa ada seseorang yang mempunyai sebahagian besar kuasa.
Perbualan diteruskan tentang sama ada penyelesaian teknikal yang lebih baik, rangka kerja kawal selia, atau alternatif terpencar mungkin mewujudkan pendekatan yang lebih seimbang untuk keselamatan internet yang melindungi pengguna tanpa memberikan sebarang entiti tunggal kawalan yang terlalu besar ke atas apa yang kekal boleh diakses dalam talian.
Rujukan: Insiden Google Safe Browsing