reCAPTCHA の使用中に発生する可能性のある一般的な問題や質問について学びます。
実装
reCAPTCHA はグローバルに使用できますか?
はい。ユーザーが www.google.com
にアクセスできない場合は、フロントエンド コードで www.recaptcha.net
を使用できます。
- まず、
<script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script>
を<script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>
に置き換えて、<SITE_KEY>
の代わりにサイトキーを使用します。 - その後、サイト上で他のすべての
www.google.com/recaptcha/
を使用する場所に同じ方法を適用します。
reCAPTCHA は Cookie を使用しますか?
reCAPTCHA は、リスク分析を行うために実行された際に、必要な Cookie(_GRECAPTCHA)を設定します。他の Cookie が設定されている可能性がある www.google.com
ドメインを使用することを回避する場合は、代わりに www.recaptcha.net
を使用できます。
reCAPTCHA バッジを非表示にしたいのですが、どうすればよいですか?
ユーザーフローに、reCAPTCHA を使用してサイトを保護していることと、「Google の利用規約とプライバシー ポリシーが適用される」ことを明示しているのであれば、バッジを非表示にできます。次のテキストを含めてください。
This site is protected by reCAPTCHA and the Google
<a href="https://policies.google.com/privacy">Privacy Policy</a> and
<a href="https://policies.google.com/terms">Terms of Service</a> apply.
次に例を示します。
reCAPTCHA のウィジェットかバッジをカスタマイズできますか?
はい。reCAPTCHA には、以下に示すようにライトテーマとダークテーマがあります。テーマを選択するには、grecaptcha.enterprise.render パラメータで data-theme
属性を設定します。
ライトテーマ:
ダークテーマ:
Google Cloud Console の「ドメインの確認」リストに追加できるドメイン数はどのくらいですか?
キーあたりのドメイン数の上限は 250 です。
250 を超えるドメインでキーを使用するには、ウェブサイトのキーを作成するをご覧ください。
reCAPTCHA を正式にサポートせず、以前の reCAPTCHA のみをサポートしているサードパーティのプラグインや実装を使用しています。reCAPTCHA を引き続き使用できますか?
はい。以前の秘密鍵は Google Cloud コンソールで確認できます。 以前の秘密鍵を見つける方法については、以前の reCAPTCHA 秘密鍵を見つけるをご覧ください。
サイトのデバッグ時に reCAPTCHA コードを使用しないようにするにはどうすればよいですか?
サイト上の他の JavaScript をデバッグしているときに reCAPTCHA コードを使用するのを防ぐには、ブラウザの無視リストに reCAPTCHA スクリプト /recaptcha__.+\.js$
を追加します。Chrome に関する手順については、スクリプトのカスタムリストを無視するをご覧ください。他のブラウザでも同様の機能が利用できます。
使用量
reCAPTCHA の使用にレート制限はありますか?
はい。割り当てと上限をご覧ください。
reCAPTCHA ダッシュボードでは、どのタイムゾーンが使用されますか?これは変更できますか?
このタイムゾーンは、ブラウザのクライアント タイムゾーンに基づきます。現時点では変更できません。
reCAPTCHA から返されるスコアの品質を測定するにはどうすればよいですか?
最終的には、ユースケースと、求める結果に応じて手法は異なります。通常は、ユーザーの行動に関する独自の内部指標を使用して、次のような観点から、スコアが正確であったかどうかを判断することをおすすめします。
- パスワードを再設定して高スコアを付けられたユーザーが、後でアカウントがハイジャックされたと報告したか?
- 低スコアでログインしたユーザーが他のユーザーにスパムを送信するようになったか?
- ログインに失敗して低スコアを付けられたユーザーが、複数の異なるユーザー名でのログインを試行するようになったか?
reCAPTCHA で自動テストを実行したい場合に、必要な対策
テスト用の reCAPTCHA サイトキーを作成するには、Google Cloud CLI を使用します。詳しくは、recaptcha keys create reference
ページの --testing-challenge
オプションと --testing-score
オプションをご覧ください。
例:
- 常に「キャプチャなし」(チャレンジなし)と「1.0」を返すチェックボックスのサイトキーを作成する(下記の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
- 常に解決できないチャレンジを返すチェックボックス サイトキーを作成する(下の --domains と --display-name を変更してください)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
- 設定したスコアを常に返すスコアベースのサイトキーを作成する(--domains、--display-name、--testing-score を変更してください)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score
reCAPTCHA REST API と通信する必要があります。レスポンス フォーマットは将来変更されないものと想定できますか?
Google のサービスが進化するにつれ、API への新しいフィールドの追加などの、互換性を損なわない変更が適用される可能性があります。JSON を使用する場合は、API の今後の追加機能との互換性を維持するために、レスポンスの形式を厳密に検証しないでください。
reCAPTCHA は評価の作成時に BROWSER_ERROR を返しました。必要な対応
BROWSER_ERROR トークンは、reCAPTCHA スクリプトが execute
オペレーションを実行できなかった場合に発生します。ほとんどの場合、これはクライアント サイトのネットワーク障害やタイムアウトが原因です。JavaScript を使用して execute()
を再試行する必要があります。
データ処理
どのセッション データが reCAPTCHA によって収集され、Google はどのように保護しますか?
reCAPTCHA によって収集されたデータと、Google がデータを保護するために講じる対策については、Cloud のデータ処理に関する追加条項と reCAPTCHA サービス固有の規約をご覧ください。
Google がデータを保護する方法について詳しくは、セキュリティのホワイト ペーパーをご覧ください。
reCAPTCHA は GDPR を遵守していますか?
はい。Google は Google Cloud において、お客様の個人データのセキュリティとプライバシーを優先順位付けして改善するイニシアチブを支持しており、reCAPTCHA のお客様は、GDPR の要件に照らして Google のサービスを安心して使用できるよう努めていますGoogle は、reCAPTCHA を含むすべての Google Cloud サービスでのお客様の個人データの処理に関して、GDPR を遵守するために Cloud のデータ処理に関する追加条項を遵守しています。
reCAPTCHA 固有の追加利用規約については、reCAPTCHA サービス固有の規約をご覧ください。
支払いトランザクション情報は reCAPTCHA によって収集されますか?
支払いトランザクション ページに reCAPTCHA をインストールすると、自動化された攻撃から保護するために特定のトランザクション シグナルが検査されます。たとえば、同じ価格で 1 秒間に何度も購入を試みるといった行為は、場合によっては攻撃である可能性があります。
ただし、bot は不正行為全体の問題点のほんの一部にすぎません。より包括的に保護するために、reCAPTCHA Fraud Prevention と統合すると、より詳細なトランザクション情報を送信することで、カードテストや決済手段不正利用などの不正行為に対する審査を受けることができます。