تتيح واجهات برمجة التطبيقات الخاصة بخدمة "التصفّح الآمن" لتطبيقات العميل إجراء عمليات تحقّق في الوقت الفعلي أو مستندة إلى القوائم من عناوين URL، وذلك من خلال مقارنتها بقوائم تُحدِّثها Google باستمرار وتضمّ موارد الويب غير الآمنة. ومن أمثلة موارد الويب غير الآمنة مواقع الهندسة الاجتماعية (مواقع التصيّد الاحتيالي والمواقع الخادعة) والمواقع التي تستضيف برامج ضارة أو غير مرغوب فيها. يُعدّ أي عنوان URL مُدرَج في قائمة "التصفّح الآمن" غير آمن.
لتحديد ما إذا كان عنوان URL مدرَجًا في أي من قوائم "التصفّح الآمن"، يمكن للعملاء استخدام urls.search أو hashes.search.
ما هو الجديد؟
حداثة البيانات
في السابق، كانت برامج "التصفّح الآمن" تنزّل بشكل دوري قوائم التهديدات المستخدَمة لمطابقة التهديدات المحتملة. ومع زيادة حجم التهديدات وسرعتها بمرور الوقت، أصبحت قوائم التهديدات المحلية هذه أقل فعالية في مواجهة التهديدات الحديثة.
لسدّ هذه الفجوة، نقدّم إمكانية تغيير البروتوكولات إلى التحقّق تلقائيًا بدلاً من بروتوكول السماح تلقائيًا الذي كان متاحًا سابقًا في الإصدار 4. ويتم ذلك من خلال توفير إمكانية تنزيل قائمة بالمواقع الإلكترونية التي يُرجّح أن تكون غير ضارة، ويُشار إليها باسم "ذاكرة التخزين المؤقت العالمية". إذا لم يتم العثور على عنوان URL في ذاكرة التخزين المؤقت العالمية، على العميل إجراء فحص باستخدام واجهة برمجة التطبيقات لتحديد ما إذا كان عنوان URL يشكّل تهديدًا.
ستوفّر هذه الإمكانية إجراء عمليات التحقّق تلقائيًا بالإضافة إلى تحسين مستوى حداثة البيانات في الخدمة، ما يتيح توفير حماية أسرع وفي الوقت الفعلي تقريبًا من التهديدات الجديدة.
خصوصية عنوان IP
تستخدم Safe Browsing API عناوين IP فقط لتلبية احتياجات الشبكات الأساسية ولأغراض مكافحة هجمات الحرمان من الخدمات (DoS).
لقد طرحنا واجهة برمجة تطبيقات مصاحبة تُعرف باسم Safe Browsing Oblivious HTTP Gateway API لتوفير ضمانات إضافية للخصوصية. يتم استخدام بروتوكول HTTP غير المدرك لإخفاء عناوين IP الخاصة بالمستخدمين النهائيين عن Google. ويتم ذلك من خلال الاستعانة بجهة خارجية غير متواطئة للتعامل مع نسخة مشفّرة من طلب المستخدم ثم إعادة توجيهها إلى Google. وبالتالي، يمكن للجهة الخارجية الوصول إلى عناوين IP فقط، ويمكن لشركة Google الوصول إلى محتوى الطلب فقط. يدير الطرف الثالث خدمة Oblivious HTTP Relay (مثل هذه الخدمة من Fastly)، وتدير Google خدمة Oblivious HTTP Gateway. هذه واجهة برمجة تطبيقات اختيارية مصاحبة. عند استخدامها مع ميزة "التصفّح الآمن" من Google، لن يتم إرسال عناوين IP للمستخدمين النهائيين إلى Google.
يمكنك الاطّلاع على مستندات Safe Browsing Oblivious HTTP Gateway API للحصول على تفاصيل إضافية.
طرق البحث
لنتعرّف على الطرق المختلفة المتاحة لإجراء عمليات تحقّق في الوقت الفعلي من عناوين URL.
urls.search
تتيح لتطبيقات العميل إرسال عناوين URL إلى خدمة "التصفّح الآمن" للتحقّق مما إذا كانت هناك أي تهديدات مرتبطة بعناوين URL.
المزايا
- عمليات التحقّق البسيطة من عناوين URL: يمكنك إرسال طلب يتضمّن عناوين URL الفعلية، وسيردّ الخادم بعناوين URL مع التهديدات المرتبطة بها (إن وُجدت).
العيوب
- عدم توفّر سرية عناوين URL: يحتوي الطلب على عناوين URL الأولية التي يتم التحقّق منها.
إذا كانت المزايا/العيوب مناسبة لمتطلباتك، ننصحك باستخدام urls.search لأنّه سهل الاستخدام.
راجِع بنود الخدمة الخاصة باستخدام الطريقة لأنّها تختلف عن hashes.search.
hashes.search
تتيح هذه الخدمة لتطبيقات العميل التحقّق من وجود تهديدات معروفة في مجموعة من عناوين URL بدون الكشف عن عناوين URL الفعلية للخدمة. ويتم ذلك من خلال تقديم بادئة التجزئة لعنوان URL فقط. ستحتوي الاستجابة على تجزئات كاملة للتهديدات المعروفة مع بادئة تجزئة الجزء.
المزايا
- سرية عنوان URL: لا يتضمّن الطلب سوى بادئة تجزئة مكوّنة من 4 بايت لعنوان URL المجزّأ.
- التوافق: بما أنّ العميل يتعامل مع التجزئة وتحديد عناوين URL الأساسية، تتكامل هذه الطريقة بسلاسة مع الأوضاع التي تستخدم قاعدة بيانات محلية، مثل "وضع الوقت الفعلي" و"وضع القائمة المحلية".
العيوب
- عمليات التحقّق المعقّدة من عناوين URL: عليك معرفة كيفية تحويل عناوين URL إلى عناوين أساسية، وإنشاء تعبيرات لاحقة/سابقة، واحتساب تجزئات SHA256 لتقديم طلبات إلى هذه الطريقة، وإجراء مقارنات مع النُسخ المحلية من القوائم غير الآمنة أو ذاكرة التخزين المؤقت العامة.
إذا كنت بحاجة إلى إعطاء الأولوية لسرية عنوان URL وكنت مهتمًا باستخدام الوضع في الوقت الفعلي أو وضع القائمة المحلية، ننصحك باستخدام hashes.search.
طُرق HashList
تسمح هذه الطرق للعملاء بتنزيل وتخزين نُسخ مجزأة من القوائم غير الآمنة وذاكرة التخزين المؤقت العالمية. يمكن للعملاء استخدام هذه المعلومات لتحديد ما إذا كان عليهم إجراء بحث في الوقت الفعلي عن عناوين URL المعنيّة أم لا.
هذه الطرق ضرورية لتشغيل وضع الوقت الفعلي ووضع القائمة المحلية.
للحصول على معلومات إضافية حول كيفية استخدام هذه الطرق، يُرجى الاطّلاع على صفحة قاعدة البيانات المحلية.
أمثلة على الطلبات
يوضّح هذا القسم بعض الأمثلة على استخدام HTTP API مباشرةً للوصول إلى ميزة "التصفّح الآمن". يُنصح عمومًا باستخدام ربط لغة تم إنشاؤه لأنّه سيتعامل تلقائيًا مع الترميز وفك الترميز بطريقة ملائمة. يُرجى الرجوع إلى المستندات الخاصة بهذا الربط.
مثال على طلب HTTP باستخدام urls.search:
GET https://safebrowsing.googleapis.com/v5alpha1/urls:search?key=INSERT_YOUR_API_KEY_HERE&urls=testsafebrowsing.appspot.com/
مثال على طلب HTTP باستخدام hashes.search:
GET https://safebrowsing.googleapis.com/v5/hashes:search?key=INSERT_YOUR_API_KEY_HERE&hashPrefixes=WwuJdQ
مثال على طلب HTTP باستخدام hashLists.batchGet:
GET https://safebrowsing.googleapis.com/v5/hashLists:batchGet?key=INSERT_YOUR_API_KEY_HERE&names=se&names=mw-4b
جميع نصوص الاستجابة هي حمولة منسَّقة باستخدام بروتوكول المخزن المؤقت يمكنك فك ترميزها.