# Chrome пишет «Опасный сайт» — что это и как снять

**Что случилось.** При переходе на вход через Яндекс браузер Chrome показал
красную страницу «Опасный сайт / сайт является фишинговым». **Это не значит,
что наш сайт взломан или что с кодом что-то не так.** Это сработала
автоматическая защита Google (она называется Safe Browsing — «безопасный
просмотр»), и почти наверняка это **ложное срабатывание**.

> Термины простыми словами:
> - **Google Safe Browsing** — общая «чёрная база» опасных сайтов, которой
>   пользуются Chrome, Яндекс.Браузер, Safari. Если сайт в ней — показывается
>   красное предупреждение.
> - **Фишинг** — поддельный сайт, ворующий пароли. Google подозревает фишинг
>   по косвенным признакам, а не потому что доказал обман.

## Почему это произошло именно у нас

Совпало несколько признаков, на которые Google реагирует автоматически:
- **Домен новый** (sekta-atlas.ru поднят недавно) — к молодым доменам доверия
  меньше по умолчанию.
- На сайте есть **форма входа с паролем**.
- Кнопка ведёт на **вход через Яндекс** (oauth.yandex.ru). Для робота Google
  «новый сайт отправляет на страницу входа Яндекса» внешне похоже на попытку
  выманить яндекс-логин — хотя у нас это легальный стандартный вход.

Итог: система перестраховалась и пометила сайт. Лечится это не кодом, а
**запросом на перепроверку в Google** — они убеждаются, что обмана нет, и
снимают метку. Обычно занимает от нескольких часов до 1–3 дней.

## Как снять (по шагам)

### Шаг 1. Проверить, действительно ли домен помечен
Откройте (можно с телефона):
`https://transparencyreport.google.com/safe-browsing/search?url=sekta-atlas.ru`
Если написано, что на сайте обнаружены «небезопасные материалы / фишинг» —
метка есть, идём дальше. Если «Безопасных материалов не обнаружено» — метка
уже снята (иногда снимается сама).

### Шаг 2. Подтвердить, что сайт наш (Google Search Console)
Это бесплатный кабинет Google для владельцев сайтов.
1. Зайдите на https://search.google.com/search-console под вашим Google-аккаунтом.
2. «Добавить ресурс» → выберите тип **«Доменный ресурс»** → впишите
   `sekta-atlas.ru`.
3. Google даст **TXT-запись** для подтверждения владения. Её нужно добавить в
   DNS домена. Если домен на reg.ru/Beget — это делается в их панели
   управления DNS (добавить запись типа TXT со значением от Google). Если не
   уверены, где — пришлите мне, подскажу точно по вашему регистратору, либо
   это сделает тот, кто ведёт DNS.
4. Вернитесь в Search Console и нажмите «Подтвердить».

### Шаг 3. Запросить проверку
1. В Search Console слева — раздел **«Проблемы безопасности»** (Security
   Issues).
2. Там будет описание, что нашли (скорее всего «социальная инженерия /
   фишинг»).
3. Нажмите **«Запросить проверку»** (Request Review). В комментарии можно
   коротко написать по-русски или по-английски: «Это корпоративный внутренний
   портал компании SEKTA. Форма входа предназначена только для сотрудников,
   вход через Яндекс — стандартная авторизация OAuth. Фишинга нет, прошу снять
   пометку.»
4. Отправьте. Google перепроверит и, как правило, снимает метку за 1–3 дня.
   Придёт письмо-подтверждение на почту аккаунта.

## Пока метку не сняли

- Вы сами можете открыть сайт: на красной странице есть ссылка внизу — «Это
  небезопасная страница. Открывая её, вы действуете на свой страх и риск» —
  клик по ней пропускает на сайт. Это временно, для вас; сотрудникам лучше
  дождаться снятия метки.
- **Ничего в коде менять не нужно** — сайт исправен. Дело только в репутации
  молодого домена у Google.

## Что от вас

1. Открыть проверку статуса (Шаг 1) и сказать мне результат.
2. Подтвердить домен в Search Console (Шаг 2) — если застрянете на DNS-записи,
   напишите, помогу по шагам под ваш регистратор.
3. Запросить проверку (Шаг 3).

Как метку снимут — кнопка входа через Яндекс перестанет пугать предупреждением.
