Descripción general de Web Risk

Web Risk es un nuevo producto de seguridad empresarial que permite a tus aplicaciones cliente verificar las URL con las listas de Google de recursos web no seguros, las cuales se actualizan de manera constante. Algunos ejemplos de recursos web no seguros son los sitios de ingeniería social, como los sitios engañosos y de suplantación de identidad (phishing), y los sitios que alojan software malicioso o no deseado. Cualquier URL que se encuentre en esta lista se considera no segura. Google trabaja para proporcionar la información más precisa y actualizada sobre los recursos web no seguros. Sin embargo, Google no puede garantizar que su información sea completa y no contenga errores: algunos sitios peligrosos pueden no estar identificados y algunos sitios seguros pueden clasificarse por error.

Para determinar si una URL está en alguna de las listas, los clientes pueden usar la API de Lookup o la API de Update.

API de Lookup

La API de Lookup permite que tus aplicaciones cliente envíen URL al servidor de Web Risk para verificar el estado. Esta API es simple y fácil de usar, ya que evita las complejidades de la API de actualización.

Ventajas

  • Verificaciones de URL simples: Envías una solicitud HTTP GET con la URL real y el servidor responde con el estado de la URL (seguro o no).

Desventajas

  • Privacidad: Las URL no tienen hash, por lo que el servidor sabe qué URL buscas.
  • Tiempo de respuesta: El servidor procesa cada solicitud de búsqueda. No proporcionamos garantías sobre el tiempo de respuesta de búsqueda.

Si no te preocupa demasiado la privacidad de las URL consultadas y puedes tolerar la latencia inducida por una solicitud de red, considera usar la API de Lookup porque es más fácil de usar.

API de Update

La API de Update permite a las aplicaciones cliente descargar y almacenar versiones con hash de las listas de sitios no seguros en una base de datos local y verificarlas de forma local. Solo si se encuentra una coincidencia en la base de datos local, el cliente debe enviar una solicitud a los servidores de Web Risk para verificar si la URL está incluida en las listas no seguras. Esta API es más compleja de implementar que la API de Lookup, pero permite realizar búsquedas locales en la mayoría de los casos para que sea más rápida.

Ventajas

  • Privacidad: Intercambia datos con el servidor con poca frecuencia (solo después de una coincidencia de prefijo de hash local) y con URL con hash, por lo que el servidor nunca conoce las URL reales consultadas por los clientes.
  • Tiempo de respuesta: Mantiene una base de datos local que contiene copias de las listas de Web Risk; no necesitan consultar el servidor cada vez que desean verificar una URL.

Desventajas

  • Implementación: Debe configurar una base de datos local y, luego, descargar y actualizar periódicamente las copias locales de las listas de Web Risk (almacenadas como hash SHA256 de longitud variable).
  • Comprobaciones de URL complejas: debes saber cómo canonicalizar las URL, crear expresiones de sufijo/prefijo y calcular hash SHA256 para establecer una comparación respecto de las copias locales de las listas de Web Risk y las listas de Web Risk almacenadas en el servidor.

Si te preocupa la privacidad de las URL consultadas o la latencia inducida por una solicitud de red, usa la API de Update.

¿Qué sigue?