Questo documento ti aiuta a comprendere le funzionalità di reCAPTCHA per WAF e a determinare quale funzionalità è più adatta al tuo caso d'uso.
reCAPTCHA per WAF offre le seguenti funzionalità che puoi utilizzare per eseguire l'integrazione con i fornitori di servizi di web application firewall (WAF):
- Token di azione reCAPTCHA
- token di sessione reCAPTCHA
- Pagina della verifica reCAPTCHA
- reCAPTCHA Express
Panoramica delle funzioni
La tabella seguente mostra un breve confronto tra i token di azione reCAPTCHA, i token di sessione reCAPTCHA, la pagina della verifica reCAPTCHA e reCAPTCHA Express:
Categoria di confronto | Token di azione reCAPTCHA | Token sessione reCAPTCHA | Pagina della verifica reCAPTCHA | reCAPTCHA Express |
---|---|---|---|---|
Caso d'uso | Utilizza i token di azione reCAPTCHA per proteggere le azioni degli utenti, ad esempio accesso o commento dei post. | Utilizza i token di sessione reCAPTCHA per proteggere l'intera sessione utente nel dominio del sito. | Utilizza la pagina della sfida reCAPTCHA quando sospetti attività di spam dirette al tuo sito e devi escludere i bot.
Questo metodo interrompe l'attività di un utente perché deve verificare un test CAPTCHA. |
Utilizza reCAPTCHA Express quando il tuo ambiente non supporta l'integrazione del codice JavaScript di reCAPTCHA o degli SDK mobile. |
Piattaforme supportate | Siti web e applicazioni mobile | Siti web | Siti web | API, siti web, applicazioni mobile e dispositivi IoT come TV e console per videogiochi |
Impegno richiesto per l'integrazione | Medio
Per l'integrazione devi:
|
Medio
Per l'integrazione devi:
|
Bassa
L'integrazione richiede la configurazione di regole dei criteri di sicurezza per Google Cloud Armor o dei criteri del firewall di reCAPTCHA per i fornitori di servizi WAF di terze parti. |
Bassa
L'integrazione richiede di configurare reCAPTCHA Express con un fornitore di servizi WAF o di inviare una richiesta da un server dell'applicazione a reCAPTCHA. |
Precisione del rilevamento | Massima
Un token di azione protegge le azioni dei singoli utenti. |
Alta
Un token di sessione protegge l'intera sessione dell'utente sul dominio del sito. |
Medio
La procedura prevede i reindirizzamenti alla pagina del test reCAPTCHA, che potrebbe non ricevere tutti gli indicatori specifici della pagina. Di conseguenza, il rilevamento dei bot potrebbe essere meno preciso. |
Bassa
Gli indicatori lato client non sono disponibili. |
Versione reCAPTCHA supportata | Chiavi reCAPTCHA basate su punteggi e caselle di controllo | Chiavi basate sul punteggio reCAPTCHA | La pagina del test reCAPTCHA utilizza la versione ottimizzata di reCAPTCHA per ridurre al minimo l'integrazione. | Chiavi basate sul punteggio reCAPTCHA |
Puoi utilizzare una o più funzionalità di reCAPTCHA per WAF in un'unica applicazione. Ad esempio, puoi scegliere di applicare un token di sessione per tutte le pagine e, in base al suo punteggio, puoi reindirizzare le richieste sospette alla pagina della verifica reCAPTCHA. Inoltre, puoi utilizzare un token di azione per azioni di alto profilo, come il pagamento. Per ulteriori informazioni, consulta gli esempi.
Token di azione reCAPTCHA
Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti degli utenti, ad esempio il pagamento sulle pagine web e sulle applicazioni mobile.
Il flusso di lavoro dei token di azioni reCAPTCHA è costituito dai seguenti passaggi:
- Quando un utente finale attiva un'azione protetta da reCAPTCHA, la pagina web o l'applicazione mobile invia indicatori raccolti nel browser a reCAPTCHA per l'analisi.
- reCAPTCHA invia un token di azione alla pagina web o all'app mobile.
- Attacchi questo token di azione all'intestazione della richiesta che vuoi proteggere.
- Quando l'utente finale richiede l'accesso con l'action-token, il fornitore di servizi WAF decodifica e convalida gli attributi dell'action-token anziché l'applicazione di backend.
- Il fornitore di servizi WAF applica le azioni in base alle regole dei criteri di sicurezza o dei criteri del firewall configurati, a seconda dei casi.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per i siti web:
Google Cloud Armor
Provider di servizi WAF di terze parti
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per le applicazioni mobile:
Token sessione reCAPTCHA
Puoi utilizzare i token di sessione reCAPTCHA quando vuoi proteggere l'intera sessione utente nel dominio del sito. Un token di sessione ti consente di riutilizzare una test reCAPTCHA esistente per un periodo specificato, in modo che non siano necessarie ulteriori valutazioni per un determinato utente, riducendo le difficoltà per l'utente e le chiamate reCAPTCHA totali richieste.
Per consentire a reCAPTCHA di conoscere il pattern di navigazione dei tuoi utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.
Il flusso di lavoro dei token di sessione reCAPTCHA è costituito dai seguenti passaggi:
- Il browser carica il codice JavaScript di reCAPTCHA da reCAPTCHA.
- Il codice JavaScript di reCAPTCHA imposta un token di sessione come cookie sul browser dell'utente finale dopo la valutazione.
- Il browser dell'utente finale memorizza il cookie e il codice JavaScript di reCAPTCHA lo aggiorna ogni 30 minuti, purché il codice JavaScript di reCAPTCHA rimanga attivo.
- Quando l'utente richiede l'accesso con il cookie, il fornitore di servizi WAF convalida questo cookie e applica le azioni in base alle regole dei criteri di sicurezza o ai criteri del firewall.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:
Google Cloud Armor
Provider di servizi WAF di terze parti
Pagina della verifica reCAPTCHA
Puoi utilizzare la funzionalità della pagina di verifica reCAPTCHA per reindirizzare le richieste in arrivo a reCAPTCHA e determinare se ciascuna richiesta è potenzialmente fraudolenta o legittima.
L'applicazione di un reindirizzamento e di un possibile test CAPTCHA interrompe l'attività di un utente. Ti consigliamo di utilizzarlo per escludere i bot quando sospetti attività di spam rivolte al tuo sito.
Quando un utente finale visita il tuo sito per la prima volta, si verificano i seguenti eventi:
- A livello di livello WAF, la richiesta dell'utente viene reindirizzata alla pagina della sfida reCAPTCHA.
- reCAPTCHA risponde con una pagina HTML incorporata con il codice JavaScript di reCAPTCHA.
- Quando viene visualizzata la pagina della verifica, reCAPTCHA valuta l'interazione dell'utente. Se necessario, reCAPTCHA presenta all'utente un test CAPTCHA.
A seconda del risultato della valutazione, reCAPTCHA esegue le seguenti operazioni:
- Se l'interazione utente supera la valutazione, reCAPTCHA genera un cookie di esenzione. Il browser associa questo cookie di esenzione alle richieste successive dell'utente allo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo tre ore.
- Se l'interazione dell'utente non supera la valutazione, reCAPTCHA non emette un cookie di esenzione.
reCAPTCHA ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web utilizzando una chiamata POST/PUT, deve fare clic sul link di ricarica nella pagina.
Il fornitore di servizi WAF esenta le richieste con un cookie di esenzione valido dal reindirizzamento e concede l'accesso al tuo sito.
Il seguente diagramma di sequenza mostra il flusso di lavoro della pagina del test reCAPTCHA:
Google Cloud Armor
Provider di servizi WAF di terze parti
reCAPTCHA Express per il WAF
Puoi utilizzare reCAPTCHA Express per proteggere le tue applicazioni in un ambiente che non supporta l'esecuzione di JavaScript reCAPTCHA o degli SDK mobile integrati, ad esempio dispositivi IoT e set-top box. Puoi configurare reCAPTCHA Express a livello di livello WAF con un fornitore di servizi WAF o in un ambiente autonomo su un server di applicazioni. reCAPTCHA Express utilizza solo indicatori di backend per generare un punteggio di rischio reCAPTCHA.
Il flusso di lavoro di reCAPTCHA WAF Express è costituito dai seguenti passaggi:
- Quando un utente richiede l'accesso a una pagina web, il fornitore di servizi WAF crea una richiesta di valutazione a reCAPTCHA.
- reCAPTCHA valuta l'interazione dell'utente e invia un punteggio di rischio.
- In base al punteggio di rischio, il fornitore di servizi WAF o il server delle applicazioni consente o blocca l'accesso.
Il seguente diagramma di sequenza mostra il flusso di lavoro di reCAPTCHA WAF express:
Passaggi successivi
- Scopri di più sugli attributi dei token per Google Cloud Armor.
- Integra reCAPTCHA per WAF con Google Cloud Armor sui siti web.
- Integra reCAPTCHA per WAF con Google Cloud Armor sulle applicazioni mobile.
- Scopri di più sugli attributi dei token per Fastly.
- Integra reCAPTCHA per il WAF con Fastly.
- Configura reCAPTCHA Express sui server delle applicazioni.