7 stycznia 2012

Błędny komunikat o stronie, która wyłudza dane

W przeglądarce Chrome i FireFox od wczoraj dla niektórych domen technicznych zaczęły się pojawiać błędne informacje ostrzegające przed wyłudzaniem danych jak na obrazku

  • Pic. 1 - Błędna plansza ostrzegająca z przeglądarki Google Chrome

Problem jest dla nas zupełnie niezrozumiały i wygląda na poważny błąd Google.
Aby zniwelować problem w swoim sklepie prosimy o:

  • Zmianę domeny głównej na domenę własną - wielu klientów na stronie ADMINISTRACJA \ Zarządzanie domenami, SSL, przekierowaniami i usługami systemowymi \ Wybierz domenę główną następnie należy wybrać własną domenę i najlepiej włączyć opcję "Przekieruj wszystkie wyżej wymienione domeny na domenę główną sklepu"
  • Wyłączenie przekierowania na logowanie z SSL jeżeli korzystają Państwo z certyfikatu SSL dla domeny technicznej *.iai-shop.com. W tym celu należy na stronie panel ADMINISTRACJA \ Zarządzanie domenami, SSL, przekierowaniami i usługami systemowymi \ Zarządzaj SSL wybrać opcję "Wyłącz przekierowanie na SSL (zakupy bez SSL) dla stron na których klient podaje swoje dane"

Poniżej podajemy 2 obrazki jak należy ustawić 2 w/w opcje.

  • Pic. 2 - Wybór domeny głównej
  • Pic. 3 - Wyłączenie przekierowania SSL do domeny technicznej dla której jest dawany certyfikat SSL, do czasu zakończenia usunięcia problemu przez Google.

Niestety, ale wyświetlanie komunikatu jest niezależne od nas. Sprawdziliśmy i absolutnie nie ma powodu aby taki komunikat się pojawiał. Prawdopodobnie w firmie Google zawiedli albo ludzie albo program, a ofiarą padamy zarówno my dla strony www.iai-shop.com jak i Państwo dla domeny technicznej. Dlatego prosimy o wiarę, że zależy nam nawet bardziej na rozwiązaniu problemu niż Państwu. Niestety Google poza klikaniem na link, że nastąpił błąd (link na planszy ostrzegawczej "zgłoś błąd" (eng. "Report an error")) nie przedstawia innej procedury usunięcia ostrzeżenia. Prosimy o klikanie i zgłaszanie błędu, gdyż możliwe że im więcej osób zgłosi błąd tym realniej szybciej ktoś się tym w Google zajmie. Ze swojej strony rozpoczęliśmy kontakt z pracownikami Google znanymi nam, w celu natychmiastowej pomocy. Niestety długi weekend nie pomaga w tym.

W przypadku wyświetlania komunikatu jedynie dla panelu administracyjnego, prosimy po prostu o zignorowanie błędu i kliknięcie linku do kontynuacji pracy. Nasz system jest w 100% sprawny co kliknięcie na link kontynuacji potwierdza. Również potwierdzi to otwarcie strony przez inną przeglądarkę niż Chrome lub FireFox

Prosimy o nie zgłaszanie kolejnych stron w komunikatach, gdyż takie zgłoszenia niczego nie zmienią.

Aktualizacja 2012-01-07 13:07

Adres http://www.google.com/safebrowsing/diagnostic?site=http://www.iai-shop.com pokazuje, że domena www.iai-shop.com została zakwalifikowana błędnie jako strona Phisingowa. Jak pokazują komunikaty nigdy żadne złośliwe oprogramowanie nie było instalowane ani nie było wykonywane żadne wyłudzenie. Podobne rezultaty daje podstawienie po parametrze site= dowolnego innego URLa.

  • Pic. 4 - Wynik skanowania narzędziem diagnostycznym Google potwierdza, że strona została błędnie zakwalifikowana jako phisingowa

Aktualizacja 2012-01-07 15:30

Dla jednego naszego klienta występował problem z wyświetlaniem strony we własnej domenie. Po włączeniu usługi White-Label problem ustał. Klientów, którzy mają podobny problem, prosimy o włączenie usługi White-Label a pieniądze za tą usługę zostaną zwrócone na Państwa saldo po zgłoszeniu komunikatem wniosku o zwrot liczony od dnia dzisiejszego do dnia potwierdzenia ustania problemu.

Aktualizacja 2012-01-08 11:10

Nasza ekipa techniczna na podstawie analizy wyłączania usługi White-Label doszła do tego, że nie powoduje powiązania z domeną techniczną domeny klienta jeżeli na stronie nie ma żadnych odwołań do katalogu /panel z którego serwowane były loga "Powered by IAI-Shop.com" umieszczone w stopce. Dlatego wyłączenie ich usługą White-Label rozwiązywało problem. Obecnie loga Powered by IAI-Shop.com zostały przeniesione do katalug /ajax i problem został rozwiązany, bo bez włączania usługi White-Label ostrzeżenie błędnie sklasyfikowanej przez Google Strony nie występuje. Tym samym proszę już nie włączać usługi White-Label.

Dodatkowo analiza problemów z wyświetlaniem aukcji na Allegro wykazała, że problem występuje w przypadku gdy są jakieś odwołania po domenie technicznej. W wielu szablonach aukcji występują odwołania do grafik po takiej domenie. Sama galeria, która jest generowana automatycznie generuje się w domenie głównej sklepu. Na aukcjach występuje również logo serwowane z tego samego katalogu co sklepowe. To logo również zostało przeniesione do katalogu /ajax i będzie generowane w domenie głównej sklepu (wcześniej w domenie www.iai-shop.com). Niestety problemem jest aktualizacja istniejących aukcji. Allegro nie udostępnia w WebAPI metody do aktualizacji opisu. Tym samym nie jesteśmy w stanie tego zrobić w sposób automatyczny.

Mamy nadzieję, że Google po wczoraj wysłanych zgłoszeniach, e-mailach oraz SMS do znanych nam pracowników Google pomogą. W dniu jutrzejszym zostanie wysłane do Google Polska pismo przedsądowe w tej sprawie. Nie wykluczamy wytoczenia Google sprawy sądowej za działanie na szkodę marki IAI.

Aktualizacja 2012-01-08 16:50

Po długotrwałych analizach udało nam się dojść do tego, że Google nie blokuje domen na podstawie żadnej merytorycznej oceny. Żaden skrypt nie powoduje tego błędu. Google uznaje jedynie każdy link zawierający "iai-shop.com/panel" jako powodujący wyłudzenie danych.

Jest to niezbity dowód na to, że IAI nie ma najmniejszej winy w zaistniałym incydencie.
W trakcie ostatnich paru godzin zmieniliśmy skrypty sklepów aby nie odwoływały się np. do ikon kurierów do adresów ze ścieżką "/panel" tylko "/ajax". Obecnie programiści przebudowują naszą stronę firmową aby pobierała elementy z adresu /panel2. To pomaga i Google nie oznacza naszej strony jako wyłudzającej dane. Dodatkowo wykonaliśmy we wszystkich sklepach, które miały włączone przekierowanie na SSL dla domeny technicznej w procesie zakupowym, wyłączenia przekierowania. Zabezpieczy to klientów, którzy nie przeczytali wiadomości.

Powyższe ustalenia to dowód na to, że Google popełnił błąd. '''Dlatego aby dostać się do panelu administracyjnego" można bezpiecznie kliknąć na opcje kontynuacji i ignorowania błędu. Jeżeli po tym fakcie panel, strona itd. działa poprawnie oznacza to, że dobrze wykonujemy naszą pracę.

Naturalnie po zabezpieczeniu klientów przed skutkami pomówienia Google, będziemy kontynuowali prace nad usunięciem idiotycznego wpisu do bazy Google który spowodował całe zamieszanie.

Aktualizacja 2012-01-09 7:50

Po zakończeniu w dniu wczorajszym w pierwszej kolejności zmian w sklepach, następnie na stronie firmowej www.iai-shop.com, Zarząd IAI przygotował oficjalne pismo kierowane do Google Polska. Pismo to zostało wieczorem wysłane do znanych nam pracowników Google Polska oraz na numery faksów wszystkich 3 biur w Polsce. Zostały w nim przekazane m.in. wskazówki co zostało źle zrobione przez Google, czyli blokowanie frazy "iai-shop.com/panel" i "domenaklienta/panel" dla URLi.

Z satysfakcją stwierdziliśmy, że w naszej ocenie w dniu dzisiejszym nie występuje już błąd Google i możliwe jest otwarcie strony logowania panelu oraz aukcji bez ostrzeżenia o phishingu. Aukcje Allegro są najlepszym dowodem na brak winy w zajściu IAI S.A. Bez zmian w ich zawartości najpierw działały, potem nie, a następnie znowu działają.

W przesłanym do Google Polska piśmie zażądaliśmy oprócz natychmiastowego usunięcia blokady również odpowiedzi pisemnej wyjaśniającej sprawę i przepraszającej nas i Państwa. Gdy tylko otrzymamy takie pismo, przekażemy je do Państwa wiadomości. Dodatkowo będziemy walczyli dla IAI i dla wszystkich naszych klientów o naprawienie szkody przez Google. Będziemy starali się w ten sposób uniknąć sporu sądowego i zakończyć sprawę polubownie. Oczywiście każdy z naszych klientów reprezentuje własną markę i tym samym sam może dochodzić jej oczyszczenia i naprawienia szkód przed Google. Uprzedzając pytania klientów, prosimy o nie zgłaszanie komunikatów z wnioskami o rekompensaty za niedostępność strony. Państwa strony były przez cały ten czas generowane poprawnie i system od strony IAI S.A. działał w 100% sprawnie. Nie ponosimy odpowiedzialności za działania firm trzecich czyli np. mechanizm blokujący bez powodu stronę w przeglądarce, gdy jej kod jest poprawny a strona nie zawiera szkodliwych treści. Jedynym winnym Państwa i naszych kłopotów jest Google którego mechanizm przypisał stronom etykietkę kradnących dane. Tym samym wnioski o rekompensatę lub pozwy sądowe powinny być kierowane do Google.