Real Time Mode

Wenn Clients Google Safe Browsing v5 im Echtzeitmodus verwenden, führen sie in ihrer lokalen Datenbank Folgendes: (i) einen globalen Cache mit wahrscheinlich harmlosen Websites, formatiert als SHA256-Hashes von Host-Suffix-/Pfad-Präfix-URL-Ausdrücken, (ii) eine Reihe von Bedrohungslisten, formatiert als SHA256-Hash-Präfixe von Host-Suffix-/Pfad-Präfix-URL-Ausdrücken. Wenn der Client eine bestimmte URL prüfen möchte, wird zuerst eine lokale Prüfung mit dem globalen Cache durchgeführt. Wenn diese Prüfung bestanden wird, wird eine lokale Prüfung der Bedrohungslisten durchgeführt. Andernfalls fährt der Client mit der Echtzeit-Hash-Prüfung fort, wie unten beschrieben.

Neben der lokalen Datenbank wird auf dem Client ein lokaler Cache verwaltet. Ein solcher lokaler Cache muss nicht in einem persistenten Speicher sein und kann bei Speichermangel gelöscht werden.

Eine detaillierte Spezifikation des Verfahrens finden Sie unten.

Ablauf der URL-Prüfung in Echtzeit

Diese Prozedur verwendet eine einzelne URL u und gibt SAFE, UNSAFE oder UNSURE zurück. Wenn SAFE zurückgegeben wird, gilt die URL gemäß Google Safe Browsing als sicher. Wenn UNSAFE zurückgegeben wird, wird die URL von Google Safe Browsing als potenziell unsicher eingestuft. Es sollten entsprechende Maßnahmen ergriffen werden, z. B. dem Endnutzer eine Warnung angezeigt, eine empfangene Nachricht in den Spamordner verschoben oder eine zusätzliche Bestätigung durch den Nutzer angefordert werden, bevor fortgefahren wird. Wenn UNSURE zurückgegeben wird, sollte anschließend das folgende Verfahren für die lokale Überprüfung verwendet werden.

  1. Sei expressions eine Liste von Suffix-/Präfixausdrücken, die von der URL u generiert werden.
  2. Sei expressionHashes eine Liste, deren Elemente SHA256-Hashes der einzelnen Ausdrücke in expressions sind.
  3. Für jede hash von expressionHashes:
    1. Wenn hash im globalen Cache gefunden wird, wird UNSURE zurückgegeben.
  4. Sei expressionHashPrefixes eine Liste, deren Elemente die ersten 4 Byte jedes Hashs in expressionHashes sind.
  5. Für jede expressionHashPrefix von expressionHashPrefixes:
    1. expressionHashPrefix im lokalen Cache nachschlagen
    2. Wenn der Cache-Eintrag gefunden wird:
      1. Prüfen Sie, ob die aktuelle Zeit nach der Ablaufzeit liegt.
      2. Wenn der Wert größer ist:
        1. Entfernen Sie den gefundenen Cache-Eintrag aus dem lokalen Cache.
        2. Fahren Sie mit der Schleife fort.
      3. Wenn er nicht größer ist:
        1. Entfernen Sie diese expressionHashPrefix aus expressionHashPrefixes.
        2. Prüfen Sie, ob der entsprechende vollständige Hash innerhalb von expressionHashes im Cache-Eintrag gefunden wird.
        3. Wenn gefunden, wird UNSAFE zurückgegeben.
        4. Wenn er nicht gefunden wird, fahren Sie mit der Schleife fort.
    3. Wenn der Cache-Eintrag nicht gefunden wird, wird die Schleife fortgesetzt.
  6. Senden Sie expressionHashPrefixes mit RPC SearchHashes oder der REST-Methode hashes.search an den Google Safe Browsing v5-Server. Wenn ein Fehler aufgetreten ist (einschließlich Netzwerkfehler, HTTP-Fehler usw.), gib UNSURE zurück. Andernfalls sei die Antwort die response, die vom Safe Browsing-Server empfangen wurde. Das ist eine Liste mit vollständigen Hashes zusammen mit einigen Zusatzinformationen, die die Art der Bedrohung (Social Engineering, Malware usw.) sowie die Cache-Ablaufzeit expiration angeben.
  7. Für jede fullHash von response:
    1. Füge fullHash zusammen mit expiration in den lokalen Cache ein.
  8. Für jede fullHash von response:
    1. Sei isFound das Ergebnis der Suche nach fullHash in expressionHashes.
    2. Wenn isFound „False“ ist, wird die Schleife fortgesetzt.
    3. Wenn isFound „True“ ist, wird UNSAFE zurückgegeben.
  9. Rückflug SAFE.

Dieses Protokoll gibt zwar an, wann der Client expressionHashPrefixes an den Server sendet, aber es wird bewusst nicht genau festgelegt, wie sie gesendet werden. Es ist beispielsweise zulässig, dass der Client alle expressionHashPrefixes in einer einzigen Anfrage sendet. Es ist auch zulässig, dass der Client jedes einzelne Präfix in expressionHashPrefixes in separaten Anfragen an den Server sendet (möglicherweise parallel). Es ist auch zulässig, dass der Client zusammen mit den Hash-Präfixen in expressionHashPrefixes nicht verwandte oder zufällig generierte Hash-Präfixe sendet, sofern die Anzahl der in einer einzelnen Anfrage gesendeten Hash-Präfixe 30 nicht überschreitet.