Google menetapkan "back button hijacking" sebagai spam

 (developers.google.com)
20 poin oleh GN⁺ 7 hari lalu | 5 komentar | Bagikan ke WhatsApp
  • Tindakan yang membuat pengguna tidak bisa kembali ke halaman semula saat menekan tombol kembali browser, atau malah mengarahkan mereka ke halaman iklan·rekomendasi yang tidak diinginkan
  • Menambahkan ‘back button hijacking’ ini sebagai kategori pelanggaran kebijakan spam baru yang secara eksplisit melarang praktik tersebut
  • Kebijakan ini dijadwalkan berlaku pada 15 Juni 2026, dan pelanggaran dapat dikenai tindakan spam manual atau penurunan peringkat otomatis
  • Google menilai praktik ini merusak pengalaman pengguna dan mengganggu alur navigasi, sehingga ditetapkan sebagai pelanggaran eksplisit kebijakan malicious practices
  • Operator situs dapat memulihkan kondisi dengan menghapus kode atau skrip eksternal yang memanipulasi riwayat navigasi browser, lalu bila perlu mengajukan permintaan peninjauan ulang di Search Console

Konsep back button hijacking

  • Tindakan yang mengganggu upaya pengguna untuk kembali ke halaman semula saat menekan tombol ‘kembali’ di browser
    • Situs memanipulasi fungsi navigasi browser sehingga pengguna tidak bisa langsung kembali ke halaman sebelumnya
    • Sebagai gantinya, pengguna dialihkan ke halaman yang belum pernah mereka kunjungi, diperlihatkan halaman rekomendasi·iklan yang tidak diinginkan, atau navigasi normal diblokir

Latar belakang penguatan kebijakan dan tindakan operator

  • Untuk memprioritaskan perlindungan pengalaman pengguna
    • Back button hijacking mengganggu fungsi browser, merusak alur navigasi yang diharapkan, serta menimbulkan rasa frustrasi dan kesan dimanipulasi pada pengguna
    • Praktik ini juga menjadi faktor yang membuat pengguna enggan mengunjungi situs yang tidak dikenal
  • Google sebelumnya juga telah menyatakan penyisipan halaman yang menipu atau manipulatif sebagai pelanggaran kebijakan Search Essentials,
    dan seiring meningkatnya praktik semacam ini, kini ditetapkan sebagai pelanggaran eksplisit kebijakan ‘malicious practices’
  • Operator situs harus menghapus kode atau skrip yang memanipulasi riwayat navigasi browser pengguna
    • Karena hal ini dapat berasal dari library eksternal atau platform iklan, kode·import·konfigurasi terkait perlu diperiksa dan dihapus
  • Jika visibilitas pencarian dibatasi akibat tindakan manual, pemulihan dapat dilakukan setelah masalah diperbaiki melalui permintaan peninjauan ulang (reconsideration request) di Search Console
  • Pertanyaan tambahan atau masukan dapat disampaikan melalui halaman Google Search Central di LinkedIn atau komunitas dukungan

Bacaan terkait

5 komentar

 
xguru 7 hari lalu

Ah, akhirnya!!! Media-media yang melakukan hal begini memang harus kena tindakan tegas
 
lazydonkey456 7 hari lalu

Bukankah seharusnya Google membereskan dulu iklan NSFW, setidaknya -_-?
 
crawler 7 hari lalu

Saya juga pernah masuk ke situs QnA Microsoft, lalu saat menekan tombol kembali malah terjebak dalam loop tak berujung. Saya benar-benar berharap situs-situs seperti ini diperbaiki.

Dari sudut pandang pengguna, terlepas ada redirect atau tidak, kalau menekan tombol kembali seharusnya bisa keluar. Situs-situs seperti ini selalu membuat kita harus menahan tombol kembali lalu keluar lebih dari 2 depth.
 
eoeoe 7 hari lalu

Normalisasi!!
 
GN⁺ 7 hari lalu
Komentar Hacker News

  • Andai ada fitur di browser untuk menonaktifkan semua shortcut milik situs web
    Di Brave aku sudah mengatur Ctrl+E untuk membuka tab baru, tapi situs seperti Discord malah mengubahnya jadi menu emoji, jadi menyebalkan

    • Ctrl+F juga bermasalah. Aku ingin mencari kata di halaman, bukan membuka kotak pencarian bawaan situs
    • Contoh lain, ada situs yang mengubah ctrl+click agar tidak membuka tab baru, melainkan tetap terbuka di tab saat ini. Terutama sering kulihat di situs e-commerce
    • Aku membuat bookmarklet untuk memblokir semua listener input keyboard agar hal seperti ini tidak terjadi. Kalau mau, bisa kubagikan
    • Daripada diblok total, akan lebih baik kalau ada sistem izin agar situs harus meminta akses untuk memakai shortcut. Tinggal izinkan hanya situs yang dipercaya
    • Di Firefox aku memakai Vimium, jadi shortcut default mengikuti plugin. Misalnya, buka tab baru dengan t, dan kalau mau memakai shortcut situs web masuk dulu ke mode insert dengan i. Tombol yang tidak bentrok seperti ctrl+k tetap bisa dipakai bebas oleh situs, jadi enak

  • Kebijakan pengindeksan Google belakangan ini makin sulit kupahami
    Situsku yang selama beberapa tahun tampil baik tiba-tiba hilang dari indeks. Isinya cuma tulisan blog biasa, tidak ada iklan, HTTPS aktif, dan juga ditautkan dari situs lain
    Tapi hasil pencarian Google sekarang makin menjauh dari informasi yang benar-benar dicari. Semoga kebijakan baru ini membawa perbaikan

    • Mungkin karena “tidak ada iklan”. Google tidak tertarik menampilkan halaman tanpa iklan
    • Ini soal Chrome, bukan pencarian. Google dalam beberapa tahun terakhir mulai menghapus konten dengan traffic rendah. Kalau isinya mirip dengan yang lain, halaman itu tidak akan diindeks terlepas dari otoritas halamannya. Sekarang pencarian makin jadi seperti TikTok. Ringkasan AI, YouTube, berita, peta, dan produk diprioritaskan. Konten sudah mati

  • Di Firefox ada pengaturan agar halaman tidak bisa memodifikasi riwayat browser
    Menurut cara di superuser.com, cukup matikan browser.history.allowPushState di about:config

    • Tapi dalam kebanyakan kasus, masalahnya bukan pushstate melainkan halaman memasang redirect otomatis. Jadi kita harus menekan tombol kembali dua kali
    • SPA memakai History API untuk mengelola riwayat navigasi internal. Kalau ini diblokir, justru bisa menyebabkan kehilangan data
    • Sebagai catatan, sejak Firefox 47 browser.history.allowPushState sudah deprecated. Sekarang masalah situs memanipulasi riwayat hampir tidak ada lagi. Tapi tetap mengejutkan bahwa di Chrome pembajakan tombol kembali masih ada. Aku menyelesaikannya di Firefox dengan UserScript untuk memblokir keycode tertentu

  • Awalnya kupikir ini tentang Android
    Banyak aplikasi Android melakukan pembajakan UX seperti “tekan kembali dua kali untuk keluar”. Aplikasi feed seperti Reddit, TikTok, dan Instagram adalah contoh utamanya

    • Aku juga awalnya mengira ini soal Android dan bertanya-tanya kenapa artikel itu terus menyebut “browser”
    • Semoga Google benar-benar menerapkan kebijakan seperti ini juga di Android. Yang paling parah justru aplikasi

  • Aku berharap kebijakan seperti ini dimulai dari LinkedIn
    Saat mengklik tautan dari email atau postingan, kita memang masuk ke postingannya, tapi saat menekan kembali justru kembali ke feed.
    Ini dilakukan dengan menggabungkan location.replace(...) dan history.pushState() untuk memanipulasi riwayat

    • Reddit juga mencegat tombol kembali dengan cara yang sama. Kalau pergi ke postingan Reddit dari Google lalu menekan kembali, malah kembali ke feed utama Reddit
    • Gmail juga punya masalah UX serupa. Di judul email undangan ada tombol “Accept” yang bisa terpencet tanpa sengaja saat scrolling
    • Aku selalu menyiasatinya dengan membuka tautan di tab baru. Menutup tab kini menjadi tombol kembali versiku. Tab yang tidak menarik tinggal kututup saja
    • Facebook juga bekerja seperti ini. Berkat penjelasan itu aku jadi paham mekanismenya
    • Tapi masih agak abu-abu apakah cara seperti ini melanggar kebijakan baru. Navigasi berbasis hash mungkin secara teknis masih valid

  • Situs-situs Microsoft juga parah soal masalah tombol kembali ini

    • Azure Portal adalah contoh utama. Menekan kembali di sana rasanya tidak pernah tahu apa yang akan terjadi. Seperti “tombol keberuntungan” di Android
    • Tapi dalam kasus MS, ini terasa kurang seperti redirect iklan yang jahat dan lebih seperti masalah desain redirect JS
    • Epic Store juga di mobile membuat halaman pembayaran tidak bisa ditinggalkan dengan tombol kembali. Entah disengaja atau cuma kesalahan UX
    • Aku juga menemui situs seperti ini kemarin; bahkan menekan kembali dengan cepat pun tidak berhasil, jadi akhirnya kututup saja tabnya

  • Langkah ini awal yang baik, tapi masih belum cukup
    Aku tidak ingin situs mana pun merebut tombol kembali milikku.
    Yang paling kubenci terutama popup seperti “Apakah Anda yakin ingin keluar? Anda belum berlangganan newsletter”

    • Dalam SPA, kadang ini memang perlu sebagai pengecualian. Jalur perpindahan pengguna di dalam aplikasi harus dilacak dengan benar. Tapi prinsip utamanya tetap “harus bekerja sesuai harapan pengguna”
    • Peringatan seperti “Keluar tanpa menyimpan?” memang berguna. Tapi seharusnya ada pengaturan izin per situs
    • Dari sudut pandang pengelola aplikasi SaaS, peringatan seperti itu dipakai karena kalau pengguna keluar saat sedang mengisi formulir, datanya bisa hilang. Tapi aku masih memikirkan tindakan mana yang lebih baik dari sudut pandang pengguna
    • Memaksa membuka tab baru juga bentuk pembajakan. Hal seperti itu seharusnya dilarang total. Bahkan menurutku perlu ada sanksi hukum

  • Katanya “pengalaman pengguna adalah prioritas utama”, ironis sekali
    Perusahaan yang menampilkan popup “Open in app” yang membingungkan demi mendorong orang memakai aplikasi malah berkata seperti itu
    Bacaan terkait: Those obnoxious sign-in windows

  • Sekarang adalah saat yang tepat untuk kembali mempromosikan pola Post/Redirect/Get
    Seperti dijelaskan di Wikipedia, setelah submit formulir lalu melakukan redirect, UX jadi jauh lebih mulus

    • Sebagai developer lama, aku sangat menyukai pola ini. Generasi React sekarang tampaknya kurang mengenalnya
    • Baru hari ini aku tahu. Ternyata tanpa pola ini, popup “kirim ulang formulir?” bisa muncul. Senang juga jadi tahu namanya

  • Framework SPA milik Google, Angular, juga bisa menyebabkan pembajakan tombol kembali saat memakai redirect routes
    Dijelaskan di dokumentasi resmi Angular

    • Namun, routing internal SPA sering kali memang tak terhindarkan demi UX aplikasi. Dalam kasus seperti ini, pembajakan hanya boleh diizinkan sejauh menjaga perpindahan internal tetap alami