Vista geral do Web Risk

O Web Risk é um novo produto de segurança empresarial que permite que as suas aplicações cliente verifiquem os URLs com base nas listas de recursos Web não seguros em constante atualização da Google. Alguns exemplos de recursos Web não seguros incluem sites de engenharia social, como sites de phishing e fraudulentos, e sites que alojam software malicioso ou indesejável. Todos os URLs encontrados nesta lista são considerados inseguros. A Google trabalha para fornecer as informações mais precisas e atualizadas sobre recursos Web inseguros. No entanto, a Google não pode garantir que as respetivas informações sejam abrangentes e sem erros: alguns sites arriscados podem não ser identificados e alguns sites seguros podem ser classificados por engano.

Para determinar se um URL está em alguma das listas, os clientes podem usar a API Lookup ou a API Update .

API Lookup

A API Lookup permite que as suas aplicações cliente enviem URLs para o servidor Web Risk para verificar o respetivo estado. Esta API é simples e fácil de usar, porque evita as complexidades da API Update.

Vantagens

  • Verificações de URL simples: envia um pedido HTTP GET com o URL real e o servidor responde com o estado do URL (seguro ou não seguro).

Inconvenientes

  • Privacidade: os URLs não são hashizados, pelo que o servidor sabe que URLs procura.
  • Tempo de resposta: cada pedido de pesquisa é processado pelo servidor. Não oferecemos garantias sobre o tempo de resposta da pesquisa.

Se não estiver muito preocupado com a privacidade dos URLs consultados e puder tolerar a latência induzida por um pedido de rede, considere usar a API Lookup porque é mais fácil de usar.

API Update

A API Update permite que as suas aplicações cliente transfiram e armazenem versões com hash das listas não seguras numa base de dados local e as verifiquem localmente. Só se for encontrada uma correspondência na base de dados local é que o cliente precisa de enviar um pedido aos servidores do Web Risk para verificar se o URL está incluído nas listas não seguras. Esta API é mais complexa de implementar do que a API Lookup, mas permite pesquisas locais na maioria dos casos, pelo que é mais rápida.

Vantagens

  • Privacidade: troca dados com o servidor com pouca frequência (apenas após uma correspondência do prefixo de hash local) e usa URLs com hash, pelo que o servidor nunca sabe os URLs reais consultados pelos clientes.
  • Tempo de resposta: mantém uma base de dados local que contém cópias das listas do Web Risk. Não precisam de consultar o servidor sempre que querem verificar um URL.

Inconvenientes

  • Implementação: tem de configurar uma base de dados local e, em seguida, transferir e atualizar periodicamente as cópias locais das listas de risco na Web (armazenadas como hashes SHA256 de comprimento variável).
  • Verificações de URLs complexas: tem de saber como canonicalizar URLs, criar expressões de sufixos/prefixos e calcular hashes SHA256 para comparação com as cópias locais das listas de risco Web e as listas de risco Web armazenadas no servidor.

Se tiver preocupações acerca da privacidade dos URLs consultados ou da latência induzida por um pedido de rede, use a API Update.

O que se segue?