O que é o user agent APIs-Google
APIs-Google é um user agent específico utilizado pelas APIs do Google para o envio de notificações push. Ao invés dos aplicativos ou serviços terem que realizar buscas constantes para identificar mudanças ou atualizações nos servidores do Google, estas notificações proporcionam um método eficiente e rápido para informar quando um recurso importante foi modificado.
Para que esse serviço funcione corretamente e de forma segura, o Google exige que os desenvolvedores validem a propriedade do domínio onde as notificações serão recebidas. Essa medida evita abusos e garante que apenas os proprietários autorizados possam utilizar o serviço, protegendo a integridade e a segurança dos dados trafegados.
Como o APIs-Google acessa seu site
O mecanismo de notificação do APIs-Google funciona através de requisições HTTPS do tipo POST, que enviam as mensagens diretamente para o site ou servidor configurado para receber essas notificações. Caso algum problema temporário impeça o recebimento da notificação, como falhas de rede ou indisponibilidade do servidor, o APIs-Google tentará reenviar o pedido seguindo um cronograma de tentativas com intervalo exponencial, ou seja, os intervalos entre as tentativas vão aumentando gradativamente ao longo do tempo.
Essa forma de operação pode gerar diferentes padrões de tráfego no site, variando conforme a quantidade de notificações solicitadas, a frequência com que os recursos monitorados são atualizados e os regimes de tentativas de reenviar notificações ainda não aceitas. Em alguns momentos, o fluxo de chamadas do APIs-Google pode manter uma constância e em outros se apresentar bastante intermitente ou com picos inesperados.
Como garantir que seu site esteja preparado para APIs-Google
Para receber notificações do APIs-Google, é obrigatório que o site utilize HTTPS e possua um certificado SSL válido ativado, garantindo a segurança da comunicação. Certificados considerados inválidos pelo Google incluem:
- Certificados autoassinados;
- Certificados emitidos por autoridades não confiáveis;
- Certificados revogados ou expirados.
Além disso, é necessário que o aplicativo ou sistema que responde às notificações push seja projetado para responder rapidamente, preferencialmente em segundos. Isso evita que o APIs-Google realize múltiplas tentativas repetidas, reduzindo o tráfego gerado e otimizando a experiência tanto para o servidor receptor quanto para o desenvolvedor.
Como impedir que APIs-Google realize chamadas ao seu site
Em algumas situações é necessário bloquear ou evitar que o APIs-Google realize chamadas ao seu servidor. Para isso, existem duas principais estratégias:
- Cancelar o recebimento de notificações: Se você é o administrador de um domínio que conta com subdomínios ou subdiretórios separados e gerenciados por entidades diferentes, pode ser que algum desses proprietários tenha configurado um app para utilização de notificações push. Para evitar o tráfego do APIs-Google proveniente dessas notificações, será necessário contatar o responsável pela configuração e pedir o cancelamento desse serviço.
- Uso do arquivo robots.txt: Para bloquear o acesso do APIs-Google ao seu site, você pode configurar o arquivo
robots.txtpara incluir regras específicas que impeçam este user agent. Use a sintaxeUser-agent: APIs-Googleseguida pela regraDisallow: /para bloquear completamente o acesso. Ressalte-se que o APIs-Google não segue as regras definidas para o user agentGooglebot, portanto, deve-se especificar explicitamente para o APIs-Google. Note que podem existir atrasos até que o APIs-Google aplique as novas regras, então monitorar eventualmente o comportamento após a implementação será fundamental.
Como verificar se as chamadas são realmente do APIs-Google
Caso suspeite que seu site esteja recebendo requisições falsas ou maliciosas que simulam o user agent APIs-Google, recomenda-se realizar uma verificação da origem dessas chamadas por análise de registros de acesso no servidor. Procure por endereços IP que estejam utilizando o user agent APIs-Google e execute uma consulta de DNS reverso para verificar se o domínio associado pertence realmente aos domínios google.com ou googlebot.com, que são legados do Google para seus crawlers e serviços oficiais.
Essa verificação é importante para mitigar tentativas de spoofing, ajudando a proteger seu site de acessos não autorizados e garantindo que somente solicitações legítimas sejam atendidas.
Considerações finais sobre o APIs-Google
O APIs-Google é uma ferramenta essencial para que desenvolvedores possam receber notificações rápidas e eficientes sobre alterações importantes em recursos monitorados, evitando excesso de consultas constantes e otimizando o uso da rede. Porém, para que essa tecnologia funcione de forma segura e eficiente, é fundamental que o site receptor esteja preparado, com SSL válido e uma estrutura que responda prontamente.
Quando o APIs-Google não é desejado ou causa impactos indesejados, os controles adequados, tais como cancelamento de notificações e bloqueio via robots.txt, são os caminhos corretos para evitar chamadas indesejadas, respeitando ainda as normas e boas práticas recomendadas pelo Google.
Por fim, a verificação do autor das chamadas é uma etapa de segurança crucial para garantir a autenticidade das notificações recebidas, protegendo tanto os recursos do site quanto seus visitantes contra acessos fraudulentos.