Descripción general de Web Risk

Web Risk es un nuevo producto de seguridad empresarial que permite que tus aplicaciones cliente verifiquen las URLs con las listas de Google continuamente actualizadas de recursos web no confiables. Algunos ejemplos de recursos web no seguros son los sitios de ingeniería social, como los sitios de phishing y los sitios engañosos, y también los sitios que alojan software malicioso o no deseado. Cualquier URL que se encuentre en esta lista se considera no segura. Google trabaja para proporcionar la información más precisa y actualizada sobre los recursos web no seguros. Sin embargo, Google no puede garantizar que su información sea integral y sin errores: es posible que no se identifiquen algunos sitios riesgosos y que algunos sitios seguros se clasifiquen por error.

Para determinar si una URL está en alguna de las listas, los clientes pueden usar la API de Lookup o la API de Update.

API de Lookup

La API de Lookup permite que tus aplicaciones cliente envíen URLs al servidor de Web Risk para verificar su estado. Esta API es simple y fácil de usar, ya que evita las complejidades de la API de Update.

Ventajas

  • Verificaciones de URL simples: Envías una solicitud HTTP GET con la URL real y el servidor responde con el estado de la URL (seguro o no).

Desventajas

  • Privacidad: Las URL no tienen hash, por lo que el servidor sabe qué URL buscas.
  • Tiempo de respuesta: El servidor procesa cada solicitud de búsqueda. No proporcionamos garantías sobre el tiempo de respuesta de la búsqueda.

Si no te preocupa demasiado la privacidad de las URL consultadas y puedes tolerar la latencia inducida por una solicitud de red, considera usar la API de Lookup porque es más fácil de usar.

API de Update

La API de Update permite que tus aplicaciones cliente descarguen y almacenen versiones con hash de las listas no seguras en una base de datos local y las verifiquen de forma local. Solo si se encuentra una coincidencia en la base de datos local, el cliente debe enviar una solicitud a los servidores de Web Risk para verificar si la URL está incluida en las listas no seguras. Esta API es más compleja de implementar que la API de Lookup, pero habilita las búsquedas locales en la mayoría de los casos de modo que es más rápida.

Ventajas

  • Privacidad: Intercambia datos con el servidor con poca frecuencia (solo después de una coincidencia de prefijo de hash local) y con URL con hash, por lo que el servidor nunca conoce las URL reales consultadas por los clientes.
  • Tiempo de respuesta: Mantiene una base de datos local que contiene copias de las listas de Web Risk; no necesitan consultar el servidor cada vez que desean verificar una URL.

Desventajas

  • Implementación: Debe configurar una base de datos local y, luego, descargar y actualizar periódicamente las copias locales de las listas de Web Risk (almacenadas como hash SHA256 de longitud variable).
  • Comprobaciones de URL complejas: debes saber cómo canonicalizar las URL, crear expresiones de sufijo/prefijo y calcular hash SHA256 para establecer una comparación respecto de las copias locales de las listas de Web Risk y las listas de Web Risk almacenadas en el servidor.

Si te preocupa la privacidad de las URL consultadas o la latencia inducida por una solicitud de red, usa la API de Update.

¿Qué sigue?