reCAPTCHA Enterprise の使用中に発生する可能性のある一般的な問題や質問について学びます。
実装
reCAPTCHA Enterprise はグローバルに使用できますか?
はい。ユーザーが www.google.com にアクセスできない場合は、フロントエンド コードで www.recaptcha.net を使用できます。
- まず、
<script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script>を<script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>に置き換えて、<SITE_KEY>の代わりにサイトキーを使用します。 - その後、サイト上で他のすべての
www.google.com/recaptcha/を使用する場所に同じ方法を適用します。
reCAPTCHA Enterprise は Cookie を使用しますか?
reCAPTCHA Enterprise は、リスク分析を行うために実行された際に、必要な Cookie(_GRECAPTCHA)を設定します。他の Cookie が設定されている可能性がある www.google.com ドメインを使用することを回避する場合は、代わりに www.recaptcha.net を使用できます。
reCAPTCHA Enterprise バッジを非表示にしたいのですが、どうすればよいですか?
ユーザーフローに、reCAPTCHA Enterprise を使用してサイトを保護していることと、「Google の利用規約とプライバシー ポリシーが適用される」ことを明示しているのであれば、バッジを非表示にできます。次のテキストを含めてください。
This site is protected by reCAPTCHA Enterprise and the Google
<a href="https://policies.google.com/privacy">Privacy Policy</a> and
<a href="https://policies.google.com/terms">Terms of Service</a> apply.
例:
reCAPTCHA Enterprise のウィジェットかバッジをカスタマイズできますか?
はい。reCAPTCHA Enterprise には、以下に示すようにライトテーマとダークテーマがあります。テーマを選択するには、grecaptcha.enterprise.render パラメータで data-theme 属性を設定します。
ライトテーマ:
ダークテーマ:
Google Cloud Console の「ドメインの確認」リストに追加できるドメイン数はどのくらいですか?
サイトキーあたりのドメイン数の上限は 250 です。
reCAPTCHA Enterprise を正式にサポートせず、従来の reCAPTCHA のみをサポートしているサードパーティのプラグインや実装を使用しています。reCAPTCHA Enterprise を引き続き使用できますか?
はい。以前の秘密鍵は Google Cloud コンソールで確認できます。 以前の秘密鍵を見つける方法については、以前の reCAPTCHA 秘密鍵を見つけるをご覧ください。
サイトのデバッグ時に reCAPTCHA コードを使用しないようにするにはどうすればよいですか?
サイト上の他の JavaScript をデバッグしているときに reCAPTCHA コードを使用するのを防ぐには、ブラウザの無視リストに reCAPTCHA スクリプト /recaptcha__.+\.js$ を追加します。Chrome に関する手順については、スクリプトのカスタムリストを無視するをご覧ください。他のブラウザでも同様の機能をご利用いただけます。
使用法
reCAPTCHA Enterprise の使用にレート制限はありますか?
はい。割り当てと上限をご覧ください。
reCAPTCHA Enterprise ダッシュボードでは、どのタイムゾーンが使用されますか?これは変更できますか?
このタイムゾーンは、ブラウザのクライアント タイムゾーンに基づきます。現時点では変更できません。
reCAPTCHA Enterprise から返されるスコアの品質を測定するにはどうすればよいですか?
最終的には、ユースケースと、求める結果に応じて手法は異なります。通常は、ユーザーの行動に関する独自の内部指標を使用して、次のような観点から、スコアが正確であったかどうかを判断することをおすすめします。
- パスワードを再設定して高スコアを付けられたユーザーが、後でアカウントがハイジャックされたと報告したか?
- 低スコアでログインしたユーザーが他のユーザーにスパムを送信するようになったか?
- ログインに失敗して低スコアを付けられたユーザーが、複数の異なるユーザー名でのログインを試行するようになったか?
reCAPTCHA Enterprise で自動テストを実行したい場合に、必要な対策
テスト用の reCAPTCHA Enterprise サイトキーを作成するには、Google Cloud CLI を使用します。詳しくは、recaptcha keys create reference ページの --testing-challenge オプションと --testing-score オプションをご覧ください。
例:
- 常に「キャプチャなし」(チャレンジなし)と「1.0」を返すチェックボックスのサイトキーを作成する(下記の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
- 常に解決できないチャレンジを返すチェックボックス サイトキーを作成する(下の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
- 設定したスコアを常に返すスコアベースのサイトキーを作成する(--domains、--display-name、--testing-score を変更してください)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score
reCAPTCHA Enterprise REST API と通信する必要があります。レスポンス フォーマットは将来変更されないものと想定できますか?
Google のサービスが進化するにつれ、API への新しいフィールドの追加などの、互換性を損なわない変更が適用される可能性があります。JSON を使用する場合は、API の今後の追加機能との互換性を維持するために、レスポンスの形式を厳密に検証しないでください。
reCAPTCHA Enterprise は評価の作成時に BROWSER_ERROR を返しました。必要な対応
BROWSER_ERROR トークンは、reCAPTCHA Enterprise スクリプトが execute オペレーションを実行できなかった場合に発生します。ほとんどの場合、これはクライアント サイトのネットワーク障害やタイムアウトが原因です。JavaScript を使用して execute() を再試行する必要があります。
データ処理
どのセッション データが reCAPTCHA Enterprise によって収集され、Google はどのように保護しますか?
reCAPTCHA Enterprise によって収集されたデータと、Google がデータを保護するために講じる対策については、Cloud のデータ処理に関する追加条項と reCAPTCHA Enterprise サービス固有の規約をご覧ください。
Google がデータを保護する方法について詳しくは、セキュリティのホワイト ペーパーをご覧ください。
reCAPTCHA Enterprise は GDPR を遵守していますか?
はい。Google は Google Cloud において、お客様の個人データのセキュリティとプライバシーを優先順位付けして改善するイニシアチブを支持しており、reCAPTCHA Enterprise のお客様は、GDPR の要件に照らして Google のサービスを安心して使用できるよう努めていますGoogle は、reCAPTCHA Enterprise を含むすべての Google Cloud サービスでのお客様の個人データの処理に関して、GDPR を遵守するために Cloud のデータ処理に関する追加条項を遵守しています。
reCAPTCHA Enterprise 固有の規約については、reCAPTCHA Enterprise サービス固有の規約をご覧ください。
支払いトランザクション情報は reCAPTCHA Enterprise によって収集されますか?
支払いトランザクション ページに reCAPTCHA Enterprise をインストールすると、自動化された攻撃から保護するために特定のトランザクション シグナルが検査されます。たとえば、同じ価格で 1 秒間に何度も購入を試みるといった行為は、場合によっては攻撃である可能性があります。
ただし、bot は不正行為全体の問題点のほんの一部にすぎません。より包括的に保護するために、reCAPTCHA Enterprise Fraud Prevention と統合し、より詳細なトランザクション情報を送信することで、カードテストや決済手段不正利用などの不正行為に対する審査を受けることができます。