這篇討論一下關於coinhive.com這種在網頁內埋入挖礦程式的作法,對SEO會有哪些影響,瀏覽器日後可能會有哪些處置,這篇純粹是我個人的推想,Google目前並沒有任何實質可信的作法或公告。
2017/11/07 增加
從海盜灣爆發網頁植入挖礦程式之後,這種情形逐漸氾濫,甚至對於網頁、app、CMS系統內暗中植入挖礦程式,綁架使用者瀏覽器的行為有了專門的名詞稱呼:Cryptojacking;這已經成為資安專家新一個需要處理的威脅項目。
引用Facebook粉絲專頁網路攻防站的文章
標題:黑色產業覬覦瀏覽器挖礦,5億訪客不知電腦變礦工
摘要:
這種綁架使用者瀏覽器暗中挖礦的行為,開始出現一個專有名詞「挖礦綁架」(Cryptojacking)來形容,成了專家資安威脅清單上最新一項威脅,
如廣告過濾軟體如AdGuard開始提供阻擋機制,而防毒軟體Avast則是當用戶瀏覽這類網站時,直接阻擋挖礦程式碼。
Check Point也將這類挖礦綁架的網頁視為重大威脅,在自家安全閘道器產品中列入封鎖名單。
電信業者,如中華電信開始將Coinhive網址列入企業資安黑名單,禁止用戶瀏覽。
CDN業者Cloudflare也開始封鎖那些擅自利用使用者電腦資源採礦的帳號與服務。
挖礦腳本程式植入手法越來越多元,幾種新手法:
1. 將Coinhive程式碼加密,降低被發現的機率。
2. 直接植入知名部落格平臺WordPress核心網頁。
3. 直接寫入了開源電商平臺Magento的資料庫,打開購物車程式,就從資料庫取出綁架瀏覽器的挖礦程式。
4. 影音網站跳出的Flash Video Player安裝提醒視窗暗中執行挖礦程式。
5. 多款含有採礦能力的行動App。
網站內安裝coinhive.min.js網頁挖礦程式,藉由使用者的瀏覽器取得運算資源,對SEO排序會有哪些影響?
這兩天瀏覽到一個網站,被Kaspersky防毒軟體跳出來警告,這個網頁試圖下載執行來自於http;//coinhive.com/lib/coinhive.min.js 的惡意軟體,查了一下這是一個網頁挖礦工具,藉由瀏覽器運算,獲取瀏覽者電腦、手機裝置的運算資源,幫助載入這個惡意程式的網站經營者挖礦,獲取收益。
網頁挖礦這件事情這陣子突然爆出來,起因是有人發現海盜灣網站有埋入這個程式,瀏覽海盜灣網站的使用者CPU使用率瞬間標高到80~85%,這件事情才逐漸曝光。對於這件事情海盜灣的使用者毀譽參半,是有些使用者贊同不反感的。
對於一些網站經營者來說,網頁挖礦程式可以幫助他們增加收入,是一個好工具,並認為瀏覽者並不會反感、或者貢獻部份運算效能幫助網站經營者挖礦是應該的,這件事情無可厚非,畢竟經營網站需要成本,而網站經營者藉由一些方式增加收入的想法也是很正常的行為;而且也有很多人本來就會在自己的電腦安裝挖礦程式賺錢。
但是如果從Google SEO的角度,或者從一般使用者的角度來看這件事情,會有哪些影響呢?
網頁挖礦程式會不會對SEO排名有影響?
先說結論,我認為網頁挖礦程式對SEO有負面影響。
Google是一間私營公司,他不會在意任何一個網站經營者的收入、以及網站經營問題,也不必要對此承擔任何責任,營利企業最重要的責任是從正當的管道獲取利潤,對股東投資者負責,而Google主要的收入來源是廣告,藉由搜尋系統的關鍵字廣告賺錢,所以Google最重視的是搜尋引擎的搜尋使用者,最在意的也是搜尋系統帶給使用者的UX體驗。
搜尋引擎已經會檢視網站的JavaScript檔案,偵測網頁是否帶有惡意程式,會對使用者的造成損害,只要檢測到網頁有惡意程式,不論這個程式是被駭客植入或者網站經營者自行安裝,SERP搜尋結果都會在這些有問題的網站會在搜尋結果的網址列底下顯示"這個網站可能會損害您的電腦",點入這個網站時還會再次警告並確認是否真的要進入這個網站。
而Google在2016年有公告會針對蓋版廣告的網站降低SEO權重,因為蓋版廣告嚴重影響使用者的瀏覽體驗,而Google希望使用者能有良好的搜尋UX體驗,所以發佈這個新的搜尋演算法,處罰有使用蓋版廣告的網站。
這兩個例子都說明同一件事情,只要網站會讓使用者有負面的UX體驗,或者危害到使用者安全,Google就會對這些網站作一些處理,Google非常重視他們的搜尋引擎使用者。
防毒軟體
一些防毒軟體和網路瀏覽的安全外掛程式,如ScriptSafe、Adblock、Kespersky等都開始將這些網頁挖礦程式視作惡意程式,當使用者瀏覽到這些網站的時候都會跳出警告,或者直接封鎖這些程式或網頁的執行,這當然會影響網站的瀏覽,以及使用者對該網站的信賴,網站經營者應該可以看到網站瀏覽數據有很明顯的衰退滑落。
Google Chrome
Chrome也會針對問題網站警告,並自動封鎖危險內容,當防毒軟體以及第三方外掛都開始將這些軟體標示為惡意軟體、封鎖其執行時,相信Chrome應該也會有同樣的處理作法。
對這些安裝網頁挖礦程式的網站,使用者會有哪些感受?
通常來說,只要防毒軟體跳出警告,使用者一定會擔心、害怕,並關閉這個網站,如果知道網站沒有說明而是藉由程式偷偷地盜用電腦的運算資源,一般來說會非常反感、生氣,這是極為強烈的負面UX感受,對網站經營者來說一定是很糟糕的結果。至少在我來說如果我瀏覽到的網站被防毒軟體警告帶有惡意程式,我會順手使用Google檢舉網站的惡意軟體檢舉功能回報這個有問題的網站。
海盜灣網站被發現網頁帶有挖礦程式,為何有些使用者能夠接受這件事情?我是這樣認為的:
- 海盜灣網站本身就是盜版資源的資訊,該網站本身除了廣告以外,很難有其他的收入來源,而這種網站的伺服器營運成本通常都不會太低。
- 在海盜灣網站上的行為通常都是灰色、或黑色行為,使用者使用這個網站大多是意圖免費取得特殊利益的使用者,網站對於使用者本身有極大的利益誘因存在。
- 這個網站的使用者本身相對明白自己的行為並不是很乾淨,所以對於該網站一些不是很常見、或者不是很乾淨的手段會比較能接受。
- 網站並沒有事先公告、也沒有使用者會利用使用者的設備挖礦獲取利益,如果事先公告、徵求使用者同意的情形下,也許這個行為會被更多的人接受。
一般網站如果安裝了網頁挖礦程式,有可能造成的影響以及結果
我認為除了海盜灣這種特殊性質的服務,以及公益性質的計畫、網站,在沒有公告、取得使用者同意的情形下,藉由網頁挖礦程式調用不知情使用者設備運算效能的行為,對於網站會有非常負面的影響。
首先是Google很可能會藉由搜尋引擎排序、以及Chrome懲罰這些網站,再來是防毒軟體、和瀏覽安全外掛程式會對這個網站提出安全警告,這兩個情形都會造成網站流量來源、以及網站流量大量消失。
再來是使用者如果在不知情狀況下被警告有這些惡意程式,並瞭解這是網站經營者試圖藉此獲得額外利益時,使用者將會有很負面的感受,並很可能不再信任這個網站;過往辛苦經營的使用者,以及使用者的信賴都很可能就因此流失。
這種狀況下別說是藉由網頁挖礦程式賺錢,流量消失、使用者消失之後廣告收入也會消失,很可能會導致網站本身無法繼續經營而關閉。
後記-關於閒置運算效能的再利用
絕大多數的電腦在使用的時候都處於閒置、等待狀態,而現在CPU、GPU的技術使的這個閒置資源數量顯得更加巨大,對一般使用者而言這是沒有被利用、也不需要的閒置資源,很多計畫都試圖取得這個運算能力。網頁挖礦程式只是其中一個,概念是認為當使用者瀏覽網頁內容、或者播放網頁的影片、音樂時,電腦很大一部分的效能是處於閒置狀態,而認為網站給予使用者利益,所以可以合理要求使用者貢獻這些閒置資源、回饋網站收益,且瀏覽網站時間越久、代表獲得利益越多,貢獻的運算資源也更多…
網站經營者將網站安裝這些挖礦軟體,要求使用者貢獻運算能力賺取利益的想法和行為也許很多人不滿意,但是這個計畫和想法並不是現在才有,也不只限於這些私利的行為,柏克萊大學的BOINC開放式網路計算平台是從SETI@home尋找外星人計畫延伸而來,有非常多種類的計畫都藉由這個平台獲得運算效能;World Community Grid 世界社群網格計畫是IBM從2004年開始迄今的一個計畫,也為很多科學家的研究計畫提供了大量的運算效能。
不論是BOINC計畫或者是World Community Grid計畫,這些都是屬於公益性質的研究計畫,如研究癌症、愛滋病等健康、藥物的分析,或者可持續性發展計畫、氣候變化模型等…所以全世界有很多參與者願意捐獻自己設備的閒置運算效能,幫助這些公益性質計畫的推動。
後記-挖礦、虛擬貨幣、海盜灣、種子名詞說明
挖礦(英語:Mining),是獲取比特幣的勘探方式的暱稱。由於其工作模式與開採礦物十分相似,因而得名。此外,進行挖礦工作的比特幣勘探者也被稱為礦工。
虛擬貨幣又稱數位貨幣,是網路上流通的一種交易憑證,這些虛擬貨幣與一般公司發行的儲值或交易憑證不同,也不是任何一個國家發行、管理的貨幣名稱,虛擬貨幣不具備傳統貨幣的金法償或信賴保護,虛擬貨幣的買賣、支付交易全靠交易雙方對於貨幣本身的價值認知和信賴程度,部份理論認為買賣虛擬貨幣本身具備類似期貨交易的性質,而不是匯率性質交易。目前比較知名、廣泛提起,比較受信賴的有比特幣、以太坊、萊特幣、門羅幣等…
海盜灣是提供搜尋、存放以及下載Bittorrent種子檔案服務的網站,號稱是世界上最大的BT種子伺服器。海盜灣所蒐集、存放的bt種子不一定都是盜版內容,也有自由版權、開放版權的資料,以及著作者自行上傳提供的智慧財產創作品,但是主要內容仍以盜版軟體、影片等為主…
bt種子是BitTorrent協定的檔案,副檔名為.torrent,使用者將取得的bt種子輸入BitTorrent的p2p下載工具,就能藉由網路下載取得bt種子所代表的 檔案;bt種子可以代表任何資訊檔案,如程式、影片、音樂等...每個人都可以自行製作、發行bt種子。
2017/11/07