Google, Immich sitesini tehlikeli site olarak işaretledi

 (immich.app)
1 puan yazan GN⁺ 2025-10-23 | 1 yorum | WhatsApp'ta paylaş
  • Son dönemde Google Safe Browsing hizmeti nedeniyle Immich ile ilgili tüm siteler tehlike uyarısı almaya başladı
  • immich.cloud alan adının tamamı etkilendi ve çoğu tarayıcıda erişim fiilen engellendi
  • Bunun nedeni, Preview ortamı gibi dahili dağıtım URL’lerinin otomatik olarak taranıp yanlış pozitif olarak işaretlenmesiydi
  • Google Search Console üzerinden itiraz edilerek kısa vadede düzeltilse de, her yeni Preview oluşturulduğunda sorun yeniden ortaya çıkıyor
  • Açık kaynak·self-hosting hizmetlerinin doğası gereği bu yapısal bir sorun ve ileride Preview ortamı ayrı bir alan adına taşınacak

Google, Immich sitesini tehlikeli site olarak işaretlediği olay

20 Ekim 2025
By Jason Rasmussen

Genel bakış

  • Bu ayın başında *.immich.cloud altındaki tüm web siteleri tehlikeli site olarak sınıflandırıldı ve kullanıcılar tarayıcılarında güvenlik uyarısı ekranıyla (namıdiğer "red-screen-of-death") karşılaştı
  • Ekipte hiç kimse bu tarayıcı özelliğinin nasıl çalıştığını tam olarak bilmiyordu, ancak artık bu bilgi 'cursed knowledge' listesine eklendi

Arka plan

  • Google, kötü amaçlı yazılım, istenmeyen yazılım ve sosyal mühendislik amaçlı aldatmacaları tespit etmek için Safe Browsing hizmetini ücretsiz olarak sunuyor
  • Chrome, Firefox gibi başlıca tarayıcılar bu hizmeti entegre ediyor
  • Hizmetin gerçekte riski nasıl belirlediği net değil
  • Bir site tehlikeli olarak sınıflandırıldığında, kullanıcıların büyük çoğunluğu o siteyi kullanamaz hale geliyor
  • Yalnızca çok az sayıda kullanıcı, 'Daha fazla bilgi' ve 'Güvenli olmayan siteyi ziyaret et' bağlantıları üzerinden giriş yapabiliyor

İşaretlenme durumunun fark edilmesi

  • Bu ayın başında immich.cloud alan adındaki birçok site "tehlikeli" olarak işaretlendi ve kullanıcılar kendi dağıttıkları Immich instance’larının da işaretlendiğine dair şikayette bulundu
  • Dahili olarak kullanılan Preview ortamları dahil tüm iç sitelerde de uyarılar görünmeye başladı
  • Her seferinde "güvenli site" görüntüleme sürecinden geçmek zorunda kalmak rahatsız ediciydi

Google Search Console ile müdahale

  • Uyarı birkaç gün geçmesine rağmen kalkmayınca, resmi müdahale kanalı olan Google Search Console kullanılmasına karar verildi

  • Bu hizmet, Google hesabı oluşturmayı, Search Console kullanımını ve işaretlenen siteler için inceleme talebi göndermeyi zorunlu kılıyor

  • Search Console, risk işaretlemesinin nedeni hakkında kısmi açıklamalar sunuyor

    • "Google, sitenizdeki bazı sayfalarda zararlı içerik tespit etti"
    • "Bu sayfalar, istenmeyen yazılım yüklemeye yönlendirme veya kişisel bilgileri açığa çıkarma gibi riskler içeriyor"

  • Sorunlu olarak gösterilen URL listesinin tamamı incelendiğinde, hepsinin Preview ortamlarıyla ilgili URL’ler olduğu görüldü

  • Tek bir alt alan adı işaretlense bile tüm alan adının kötü olarak değerlendirilmesi en sarsıcı noktaydı

Etki

  • Preview ortamları ve dahili hizmetlerin tamamı (zitadel, outline, grafana, victoria metrics vb.) etki alanına girdi
  • Production tile server (tiles.immich.cloud) da hedef oldu
  • Ancak tile server, JavaScript üzerinden çağrıldığı ve doğrudan bir kullanıcı arayüzüne sahip olmadığı için normal çalıştığı doğrulandı

Sorunu "çözme" girişimi

  • Google Search Console’daki Request Review özelliği üzerinden itiraz etmek ve çözüm açıklaması sunmak gerekiyor
  • Sorunu gerçekten çözmeden yalnızca inceleme talep edilirse değerlendirme süresi uzuyor

Tehlikeli site durumundan çıkarılma talebi

  • Fiilen bir sorun olmadığı değerlendirildiği için, aşağıdaki açıklama iletildi

    • Immich, self-hosting için geliştirilmiş bir uygulamadır ve Immich ekibi (https://immich.app/) bu alan adının tamamını doğrudan yönetip işletmektedir
    • İşaretlenen sitelerin tamamı resmî self-hosting dağıtım ortamlarıdır; başka birini taklit etmemektedir

  • 1-2 gün içinde alan adı yeniden normal olarak değerlendirildi ve erişilebilir hale geldi

Sorunu en aza indirme çabası

  • GitHub Pull Request’e preview etiketi eklendiğinde Immich Preview ortamı otomatik olarak oluşturuluyor ve oluşturulur oluşturulmaz kimlik doğrulama yorumu ile birlikte Preview URL’si üretiliyor

    https://pr-<num>.preview.internal.immich.cloud/

  • Her yeni Preview ortamı oluşturulduğunda immich.cloud alan adı yeniden tehlikeli olarak işaretleniyor

  • Bunun, Google’ın GitHub’ı tararken yeni URL’leri keşfetmesi, ziyaret etmesi ve ardından riskli olarak işaretlemesinden kaynaklandığı tahmin ediliyor

  • Şu anki çözüm olarak, Preview ortamlarını yalnızca buna ayrılmış ayrı bir alan adına (immich.build) taşımaya yönelik plan yapılıyor

Daha büyük sorun

  • Google Safe Browsing sisteminin, açık kaynak ve self-hosting yazılımların özellikleri dikkate alınmadan tasarlanmış göründüğü belirtiliyor
  • Immich dışında birçok popüler proje de benzer sorunlar yaşadı
  • Google, istediği herhangi bir alan adını keyfi şekilde engelleyebiliyor ve buna karşı pratikte eldeki tek gerçek yöntem, sürekli olarak Google’a inceleme talebi göndermek gibi görünüyor

Cheers,
The Immich Team

İlgili okumalar

1 yorum

 
GN⁺ 2025-10-23
Hacker News görüşleri

  • Kullanıcı içeriğini alt alan adlarında barındırmayı planlıyorsanız, sitenizi Public Suffix List'e kaydetmeniz gerekir https://publicsuffix.org/list/
    Böylece kirlenmiş bir alt alan adı tüm siteyi etkilemez

    • Kullanıcı tarafından üretilen içerik barındırıyorsanız PSL'de olmanız gerektiği, web geliştiricileri arasında bir tür örtük ortak bilgi sayılıyor
      Immich'in sorunu gibi, bunu önceden yaşamadan öğrenmek zor olduğu için çoğu kişi ancak gerçekten başına gelince fark ediyor

    • Geçmişte tarayıcılar, yalnızca alan adında nokta yoksa geniş kapsamlı çerez ayarlarını engelleyen algoritmalar kullanıyordu (ör. .com, .org)
      Ama .co.uk gibi alt seviye alan adlarında bu, tüm alt kayıtlı alan adlarına çerez sızmasına yol açıyordu
      Her üst seviye alan adının kayıt politikası farklı olduğundan bunun geliştirici tarafında çözülebilecek bir yolu yoktu; sonuçta Public Suffix List gibi listelerin elle yönetildiği bir yaklaşım ortaya çıktı
      Tarayıcıların doğası gereği böyle bir sınırı olması, web'in sanki duct tape ile yapılmış bir araba gibi hissettirmesine yol açıyor https://publicsuffix.org/learn/

    • Bu yazıdaki çeşitli bağlantılara bakınca aslında iki sorun var

  1. Immich gibi kendi alan adında kullanıcı içeriği barındırıyorsanız public suffix list'e kaydolma sorunu
  2. Kullanıcıların immich, jellyfin gibi açık kaynak projelerini kendi alan adlarında barındırdıklarında phishing sanılması sorunu
    Birincisi PSL'yi biliyorsanız nispeten kolay bir mesele, ama ikincisi (özellikle alan adında yazılım adı geçiyorsa) daha can sıkıcı

  • Sorun kullanıcı içeriğinin kendisi değil; Immich'in release build'ini kendi sunucuma doğrudan yükledim ve Google tüm alan adımı engelledi

  • Immich gerçekten kullanıcı içeriği barındırdığı için değil, PR preview için kullanılan alt alan adında bu sorun çıktı
    Bence bu açıkça Google'ın kodundaki bir hata

  • Immich ekibinin tüm 'Cursed Knowledge' listesini görmenizi tavsiye ederim https://immich.app/cursed-knowledge

    • Listedeki bazı şeyler aslında gayet doğal güvenlik tasarımı gibi görünüyor
      Örneğin 'bazı telefonlar, konum izni olmayan bir uygulama görüntüleri okuduğunda GPS bilgisini otomatik olarak kaldırır'
      Bu bana daha çok doğal ve arzu edilir bir davranış gibi geliyor

    • Bu tür bilgilerin CURSED.md gibi standart bir dosyayla projeler arasında paylaşılabilmesi güzel olurdu
      Böylece sahada edinilmiş çeşitli bilgileri herkes öğrenebilirdi

    • 'Postgres sorgu parametrelerinde sınır 65.000'
      Bunun bile yetmiyor olması ilginç

  • Bu tür uyarı metinlerinde hep merak ettiğim bir şey var
    Doğrudan 'dolandırıcı', 'saldırgan' diye etiket yapıştırıyorlar; bu iftira sayılmıyor mu
    Microsoft'un doğrulanmamış çalıştırılabilir dosya uyarıları da aynı şekilde
    Eskiden 'güvenli olup olmadığını bilmiyoruz' der gibiydiler, şimdi ise 'sen saldırgansın' diye kesin konuşuyorlar

    • 'Dolandırıcı' kelimesi gerçek uyarı metninde geçmiyor; ifade daha çok 'sitede saldırganlar olabilir', '~olabilir (might)' şeklinde
      Buna üçüncü taraf bir hacker'ın sızdığı durumlar da dahil
      Site sahibini saldırgan ilan etmiyor
      Hukuk ekibi muhtemelen metni oldukça dikkatle incelemiştir

    • Ben avukat değilim ama bu tür uyarı metinleriyle ilgili mahkemeye taşınmış bir örnek yok sanırım
      İftira kapsamına girebilir gibi görünüyor

  • Bu gerçekten büyük bir sorun olmayabilir ama Immich gibi bir yere herhangi biri PR gönderip sadece preview etiketi eklediğinde, bunun otomatik olarak https://pr-<num>.preview.internal.immich.cloud adresinde barındırıldığı bir yapı mı var diye merak ediyorum
    Sonuçta herkesin istediği her şeyi özgürce yükleyebilmesi anlamına gelmiyor mu?

    • GitHub'da etiket ekleyebilen kişiler işbirlikçilerle sınırlı olduğu için tamamen açık değil
      Yine de bir işbirlikçi önce normal bir PR gönderip etiketi alma hakkını kazandıktan sonra her şeyi yükleyebiliyorsa, bu risk oluşturur

    • Gerçekten sıfır maliyetli bir phishing yöntemi fikri gibi

  • Tek bir şirketin hangi sitelere erişilebileceğine kadar karar verebilmesi inanılır gibi değil
    Uygulama çalıştırmayı sınırlamaları yetmiyormuş gibi artık iş bu noktaya geldi

    • ABD Kongresi'nin uzun süre verimsiz işlemesinin çeşitli sorunlara yol açmasının bir sonucu bu

    • Reklamdan hoşlanmayan kullanıcıların bile nasıl böyle dev şirketleri 'havalı' bulacak noktaya geldiğine şaşırıyorum
      Reklam kimsenin istediği bir şey değil ama şirketler için para kazanma yöntemi
      Google'ın bu kadar etik dışı bir şirket görüntüsünü nasıl tersine çevirip 'cool' göstermeyi başardığını anlamıyorum

  • Açık internetin sonuna gelindiğini düşünüyorum
    Artık her şeyi tekeller kontrol ediyor
    Üç yıldır iOS uygulamam mağazada duruyordu, sonra Apple aniden var olmayan yeni bir lisans talep etti ve bunu sağlamazsam uygulamayı kaldıracağını bildirdi
    Üç yılda hiçbir şey değişmemişti ama durum buydu
    Artık self-hosting bile istediğin gibi yapılamıyor gibi gelmesi giderek daha çok bıkkınlık veriyor

    • iOS uygulaması ve Apple'ın talepleri konusunu daha ayrıntılı anlatırsan gerçekten çok faydalı olur

  • Arkadaşım ve aynı zamanda müşterim WordPress tabanlı hosting ve basit bir yönlendirme kullanıyordu
    Host bir şekilde 'tehlikeli site' kara listesine girdi
    Yönlendirmeyi kaldırdıktan sonra bile kendi alan adı kirlenmiş kaldı ve bu yüzden Google o alan adından gelen e-postaları da hiç kabul etmedi
    İnceleme talebiyle kara listeden çıktı ama e-posta engellemesinin etkisi kalıcı oldu
    Sonunda yeni bir alan adı kaydetti; Google'ın bu davranışı insanları sadece tek kullanımlık hesaplar oluşturmaya teşvik ediyor

    • Bunu duymak korkutucu
      Benim de 25 yıldır sorunsuz kullandığım alan adımın yanlışlıkla kara listeye girip e-postasının da engellenmesi düşüncesi bile korkunç

  • Benim vardığım sonuç, kullanım amacına göre alan adlarını ayırmanın iyi olduğu
    Bunun dünya genelinde birden çok TLD yüzünden resmî hizmet gibi görünme dezavantajı var ama bu olaydan sonra buna daha da ikna oldum
    Örneğin
    www.contoso.com (genel)
    www.contoso.blog (genel, kullanıcı yorumları dahil)
    contoso.net (dahili)
    staging.contoso.dev (geliştirme/zero-trust endpoint'leri)
    raging-lemur-a012afb4.contoso.build (snapshot'lar için) şeklinde kullanılabilir

    • Ama alan adlarını böyle ayırmak kullanıcı açısından phishing gibi görünme riskini çok artırıyor
      Bir zamanlar 'githubnext.com' adresinden bir e-posta aldım; benim bildiğim kadarıyla GitHub = github.com olduğundan doğal olarak bunun phishing ya da spam olduğunu düşündüm
      Meğer gerçek bir hizmetmiş

    • İyi yaklaşım

  • Ben de şu anda kendi alan adımla aynı sorunu yaşıyorum
    Google ailemizin Immich instance'ını tehlikeli site olarak işaretlediği için, aynı alan adında sunduğum tüm diğer hizmetlere de Chrome'dan erişilemiyor
    Teknik olarak uyarıyı aşabilirsiniz ama kayınvalideme gönderdiğim fotoğraf albümünü tamamen kullanılamaz hale getiriyor

  • Aynı şeyi ben de bu yılın başlarında Umami Analytics'i self-host ederken yaşadım
    https://news.ycombinator.com/item?id=42779544#42783321
    Google Search Console'da itiraz ederken 'hukuki işlem' ifadesini kullanınca ancak o zaman işaret kaldırıldı