Descripción general de Web Risk

Esta página presenta Web Risk

Introducción

Web Risk es un nuevo producto de seguridad empresarial que permite que tus aplicaciones cliente verifiquen las URL con las listas de Google actualizadas continuamente de recursos web no seguros. Algunos ejemplos de recursos web no seguros son los sitios de ingeniería social, como los sitios de suplantación de identidad (phishing) y los sitios engañosos, y también los que alojan software malicioso o no deseado. Cualquier URL que se encuentre en esta lista se considera no segura. Google trabaja para proporcionar la información más precisa y actualizada sobre los recursos web no seguros. Sin embargo, Google no puede garantizar que su información sea exhaustiva y esté libre de errores: es posible que algunos sitios peligrosos no se identifiquen y que algunos sitios seguros se clasifiquen por error.

Para determinar si una URL está en alguna de las listas, los clientes pueden usar la API de Lookup o la API de Update.

API de Lookup

La API de Lookup permite que tus aplicaciones cliente envíen URL al servidor de Web Risk para verificar su estado. La API es simple y fácil de usar, ya que evita la complejidad de la API de Update.

Ventajas

  • Verificaciones de URL simples: Envías una solicitud HTTP GET con la URL real y el servidor responde con el estado de la URL (seguro o no).

Desventajas

  • Privacidad: Las URL no tienen hash, por lo que el servidor sabe qué URL buscas.
  • Tiempo de respuesta: El servidor procesa todas las solicitudes de búsqueda. No ofrecemos garantías sobre el tiempo de respuesta.

Si no te preocupa demasiado la privacidad de las URL consultadas y puedes tolerar la latencia inducida por una solicitud de red, considera usar la API de Lookup porque es más fácil de usar.

API de Update

La API de Update permite que tus aplicaciones cliente descarguen versiones con hash de las listas no seguras para el almacenamiento en una base de datos local y las verifiquen de forma local. Solo si se encuentra una coincidencia en la base de datos local, el cliente debe enviar una solicitud a los servidores de Web Risk para verificar si la URL está incluida en las listas no seguras. Esto es más complejo de implementar que la API de Lookup, pero habilita las búsquedas locales en la mayoría de los casos de modo que es más rápido.

Ventajas

  • Privacidad: Intercambia datos con el servidor con poca frecuencia (solo después de una coincidencia de prefijo de hash local) y con URL con hash, por lo que el servidor nunca conoce las URL reales consultadas por los clientes.
  • Tiempo de respuesta: Mantiene una base de datos local que contiene copias de las listas de Web Risk; no necesitan consultar el servidor cada vez que desean verificar una URL.

Desventajas

  • Implementación: Debe configurar una base de datos local y, luego, descargar y actualizar periódicamente las copias locales de las listas de Web Risk (almacenadas como hash SHA256 de longitud variable).
  • Comprobaciones de URL complejas: debes saber cómo canonicalizar las URL, crear expresiones de sufijo/prefijo y calcular hash SHA256 para establecer una comparación respecto de las copias locales de las listas de Web Risk y las listas de Web Risk almacenadas en el servidor.

Si te preocupa la privacidad de las URL consultadas o la latencia inducida por una solicitud de red, usa la API de Update.

Qué sigue