Vào cuối tháng 9 năm 2025, một nhà cung cấp dịch vụ lưu trữ phát hiện toàn bộ tên miền của họ bị chặn bởi Google Safe Browsing, châm ngòi một cuộc tranh luận gay gắt về cơ sở hạ tầng Internet, quyền lực của tập đoàn và những thách thức trong việc lưu trữ nội dung do người dùng tạo ra. Sự cố này đã hé lộ những lo ngại sâu sắc về cách các hệ thống bảo mật tự động tác động đến các dịch vụ nhỏ hơn và liệu các giải pháp hiện tại có đủ khả năng đáp ứng quy mô của dịch vụ lưu trữ web hiện đại hay không.
Sự cố châm ngòi cuộc thảo luận
Một dịch vụ lưu trữ tĩnh phát hiện tên miền chính của họ đã bị Google Safe Browsing đánh dấu là lừa đảo, ảnh hưởng đến tất cả các trang web dưới tên miền đó trong khoảng sáu giờ. Nguyên nhân bắt nguồn từ một loạt các trang web lừa đảo được người dùng tạo ra trên các subdomain của nền tảng lưu trữ. Điều này đã dẫn đến các cuộc thảo luận trong cộng đồng về việc liệu phản ứng của Google có phù hợp hay thể hiện sự kiểm soát quá mức đối với khả năng truy cập Internet.
Cuộc thảo luận tiết lộ rằng những sự cố tương tự không phải là hiếm. Một bình luận viên lưu ý: Tôi có *.domain.tld trỏ đến một địa chỉ IP nội bộ, và trong vài năm qua, đã có vài lần một subdomain nào đó bị Google Safe Browsing đánh dấu là nguy hiểm. Mô hình này cho thấy các hệ thống bảo mật tự động thường xuyên tạo ra các báo động sai có thể làm gián đoạn các dịch vụ hợp pháp.
Thống kê Tác động của Google Safe Browsing:
- Bảo vệ hơn 5 tỷ thiết bị trên toàn thế giới
- Có thể chặn quyền truy cập vào toàn bộ tên miền và tên miền phụ
- Quy trình xem xét thường mất vài giờ để giải quyết
- Ảnh hưởng đến các trình duyệt lớn bao gồm Chrome, Firefox và Edge
Tranh luận về Danh sách Hậu tố Công cộng (PSL)
Phần lớn thảo luận kỹ thuật tập trung vào Danh sách Hậu tố Công cộng (Public Suffix List - PSL), một phần quan trọng nhưng thường bị bỏ qua trong cơ sở hạ tầng web. PSL giúp trình duyệt và các dịch vụ bảo mật hiểu được tên miền nào đang lưu trữ nội dung từ nhiều bên độc lập khác nhau. Khi một tên miền không có trong danh sách này, các hệ thống bảo mật có thể xem tất cả các subdomain như thuộc về cùng một thực thể.
Quy trình phê duyệt cho PSL đã trở thành một điểm tranh cãi. Một số người cho rằng các nhà cung cấp dịch vụ lưu trữ lẽ ra phải biết về yêu cầu này ngay từ đầu, trong khi những người khác chỉ ra rằng bạn không thể chỉ thêm bất kỳ tên miền nào vào PSL. Bạn cần có một lượng người dùng đáng kể trước khi họ đưa tên miền của bạn vào danh sách. Điều này tạo ra một tình huống tiến thoái lưỡng nan, khi các dịch vụ đang phát triển trở nên dễ bị chặn toàn bộ tên miền ngay khi họ đạt đến ngưỡng đủ điều kiện cho PSL.
Đối với một nhà phát triển web vào năm 2025 mà vẫn không biết các phương pháp bảo mật tốt nhất đã tồn tại hơn 20 năm là một thất bại từ phía nhà phát triển.
Những Thông Tin Chính Về Public Suffix List (PSL):
- Được duy trì tại https://publicsuffix.org/
- Giúp các trình duyệt xác định các tên miền lưu trữ nhiều bên độc lập
- Yêu cầu quy trình phê duyệt để đưa tên miền vào danh sách
- Quan trọng để ngăn chặn việc chặn bảo mật trên toàn tên miền
- Được sử dụng bởi tất cả các trình duyệt lớn cho các quyết định bảo mật
Hàm ý rộng hơn đối với Cơ sở hạ tầng Internet
Sự cố này làm nổi bật mức độ tập trung hóa trong quản trị Internet. Với việc Google Safe Browsing bảo vệ hơn năm tỷ thiết bị, các quyết định tự động của một công ty duy nhất có thể khiến các trang web biến mất khỏi một phần lớn của Internet. Sự tập trung quyền lực này khiến nhiều người trong cộng đồng kỹ thuật, những người coi trọng bản chất phi tập trung của web, lo ngại.
Cuộc thảo luận đã mở rộng ra ngoài trường hợp cụ thể này để xem xét mức độ khó khăn ngày càng tăng đối với các cá nhân muốn vận hành các dịch vụ web độc lập. Như một người tham gia nhận xét, Bạn có thể kể tên bao nhiêu diễn đàn mới thực sự độc lập, do cá nhân điều hành ngày nay? Hầu như không có. Sự kết hợp giữa các thách thức về kiểm duyệt, rủi ro DDoS, và giờ đây là mối đe dọa bị chặn toàn bộ tên miền bởi các hệ thống tự động đã tạo ra những rào cản đáng kể cho các nhà khai thác quy mô nhỏ.
Bảo mật so với Khả năng tiếp cận
Mặc dù hầu hết các bình luận viên thừa nhận tầm quan trọng của việc bảo vệ người dùng khỏi các cuộc tấn công lừa đảo, nhiều người đặt câu hỏi liệu cách tiếp cận hiện tại có đại diện cho sự cân bằng phù hợp hay không. Bản chất tự động của các hệ thống này có nghĩa là các báo động sai có thể khiến các dịch vụ ngừng hoạt động với ít khả năng khắc phục. Như một chuyên gia bảo mật có kinh nghiệm lưu ý, Một nửa (hoặc hơn) các cảnh báo bảo mật là báo động sai.
Sự cố này cũng cho thấy sự chênh lệch trong cách đối xử giữa các nền tảng lớn so với nhỏ. Một số bình luận viên chỉ ra rằng các dịch vụ lớn như YouTube hay Facebook không phải đối mặt với việc bị chặn toàn bộ tên miền khi người dùng cá nhân đăng tải nội dung độc hại, điều này cho thấy quy mô và ảnh hưởng có tác động đến cách các chính sách bảo mật được áp dụng.
Các Thực Hành Bảo Mật Hosting Phổ Biến:
- Tách biệt nội dung người dùng khỏi giao diện quản trị bằng cách sử dụng các tên miền khác nhau
- Triển khai hệ thống kiểm duyệt nội dung theo thời gian thực
- Sử dụng phạm vi cookie để ngăn chặn các vấn đề bảo mật xuyên subdomain
- Theo đuổi việc đưa vào PSL cho các tên miền nội dung do người dùng tạo
- Giám sát hoạt động độc hại 24/7
Hướng tới tương lai: Giải pháp và Lựa chọn thay thế
Nhà cung cấp dịch vụ lưu trữ trong trường hợp này đã bắt đầu di chuyển nội dung người dùng sang một tên miền riêng biệt và theo đuổi việc được đưa vào PSL. Tuy nhiên, các bình luận viên lưu ý rằng điều này chỉ giải quyết một phần vấn đề, vì tên miền mới vẫn có thể gặp phải các vấn đề tương tự cho đến khi quá trình phê duyệt PSL hoàn tất. Cuộc thảo luận cũng đề cập đến những cải tiến tiềm năng cho quy trình, bao gồm các API tốt hơn để xử lý báo cáo từ Safe Browsing và sự giao tiếp minh bạch hơn từ Google.
Một số người tham gia cho rằng vấn đề cốt lõi không chỉ là kỹ thuật mà còn là xã hội - Internet đã phát triển đến mức mà một vài thực thể lớn nhất thiết phải nắm giữ quyền lực đáng kể. Như một bình luận viên đã đặt vấn đề, Có hai khía cạnh đối với Internet: kỹ thuật và xã hội. Trong khía cạnh xã hội, luôn có ai đó nắm giữ hầu hết quyền lực.
Cuộc thảo luận vẫn tiếp tục về việc liệu các giải pháp kỹ thuật tốt hơn, khuôn khổ quy định, hoặc các giải pháp thay thế phi tập trung có thể tạo ra một cách tiếp cận cân bằng hơn đối với bảo mật Internet, vừa bảo vệ người dùng mà không trao cho bất kỳ thực thể đơn lẻ nào quyền kiểm soát áp đảo đối với những gì còn có thể truy cập được trực tuyến.
Tham khảo: Sự cố Google Safe Browsing