Este documento ajuda você a entender os recursos do reCAPTCHA para WAF e determinar qual deles corresponde melhor ao seu caso de uso.
O reCAPTCHA para WAF oferece os seguintes recursos que podem ser usados para integração com provedores de serviços de firewall de aplicativos da Web (WAF):
- Tokens de ação do reCAPTCHA
- Tokens de sessão do reCAPTCHA
- Página de desafio do reCAPTCHA
- reCAPTCHA express
Visão geral dos recursos
A tabela a seguir mostra uma breve comparação dos tokens de ação, dos tokens de sessão, da página de teste e do reCAPTCHA Express:
| Categoria de comparação | Tokens de ação reCAPTCHA | Tokens de sessão reCAPTCHA | Página de teste do reCAPTCHA | reCAPTCHA expresso |
|---|---|---|---|---|
| Caso de uso | Use tokens de ação reCAPTCHA para proteger as ações do usuário, como login ou postagens de comentários. | Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. | Use a página de teste do reCAPTCHA quando você suspeitar que há atividades de spam direcionadas ao site e precisar filtrar bots.
Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA. |
Use o reCAPTCHA Express quando o ambiente não oferecer suporte à integração do JavaScript do reCAPTCHA ou dos SDKs para dispositivos móveis. |
| Plataformas compatíveis | Sites e apps para dispositivos móveis | Sites | Sites | APIs, sites, aplicativos para dispositivos móveis e dispositivos IoT, como TVs e consoles de jogos |
| Esforço de integração | Média
A integração requer o seguinte:
|
Média
A integração requer o seguinte:
|
Baixa
A integração requer que você configure regras de política de segurança do Google Cloud Armor ou políticas de firewall do reCAPTCHA para provedores de serviços de WAF de terceiros. |
Baixa
Para fazer a integração, você precisa configurar o reCAPTCHA Express com um provedor de serviços do WAF ou fazer uma solicitação do servidor do aplicativo para o reCAPTCHA. |
| Precisão da detecção | Maior
Um token de ação protege ações individuais do usuário. |
Alta
Um token de sessão protege toda a sessão do usuário no domínio do site. |
Média
O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa. |
Baixa
Os indicadores do lado do cliente não estão disponíveis. |
| Versão compatível do reCAPTCHA | Chaves de pontuação e de caixa de seleção reCAPTCHA | Chaves reCAPTCHA baseadas em pontuação | A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. | Chaves reCAPTCHA baseadas em pontuação |
É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Para mais informações, consulte os exemplos.
Tokens de ação reCAPTCHA
É possível usar tokens de ação reCAPTCHA para proteger interações importantes do usuário, como a finalização da compra em páginas da Web e em aplicativos para dispositivos móveis.
O fluxo de trabalho de tokens de ação do reCAPTCHA consiste nas seguintes etapas:
- Quando um usuário final aciona uma ação protegida por reCAPTCHA, a página da Web ou o aplicativo para dispositivos móveis envia sinais coletados no navegador para o reCAPTCHA para análise.
- O reCAPTCHA envia um token de ação para a página da Web ou o aplicativo para dispositivos móveis.
- Anexe esse token de ação ao cabeçalho da solicitação que você quer proteger.
- Quando o usuário final solicita acesso com o token de ação, o provedor de serviços do WAF decodifica e valida os atributos do token de ação em vez do seu aplicativo de back-end.
- O provedor de serviços do WAF aplica ações com base nas regras de política de segurança ou de firewall configuradas, o que for aplicável.
O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de ação do reCAPTCHA para sites:
Google Cloud Armor
Provedor de serviços de WAF terceirizado
O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de ação reCAPTCHA para aplicativos para dispositivos móveis:
Tokens de sessão reCAPTCHA
Use tokens de sessão reCAPTCHA quando quiser proteger toda a sessão do usuário no domínio do site. Um token de sessão permite reutilizar uma teste reCAPTCHA por um período especificado. Assim, nenhuma outra avaliação é necessária para um usuário específico, o que reduz o atrito do usuário e o total de chamadas reCAPTCHA necessárias.
Para permitir que o reCAPTCHA aprenda sobre o padrão de navegação dos usuários finais, recomendamos usar um token de sessão reCAPTCHA em todas as páginas da Web do seu site.
O fluxo de trabalho de tokens de sessão reCAPTCHA consiste nas seguintes etapas:
- O navegador carrega o JavaScript reCAPTCHA do reCAPTCHA.
- O reCAPTCHA JavaScript define um token de sessão como um cookie no navegador do usuário final após a avaliação.
- O navegador do usuário final armazena o cookie, e o JavaScript reCAPTCHA o atualiza a cada 30 minutos, desde que o JavaScript do reCAPTCHA permaneça ativo.
- Quando o usuário solicita acesso com o cookie, o provedor de serviços do WAF valida esse cookie e aplica ações com base nas regras da política de segurança ou da política de firewall.
O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de sessão reCAPTCHA:
Google Cloud Armor
Provedor de serviços de WAF terceirizado
Página de teste do reCAPTCHA
Use o recurso da página de teste do reCAPTCHA para redirecionar solicitações recebidas no reCAPTCHA e determinar se cada solicitação é potencialmente fraudulenta ou legítima.
Essa aplicação de um redirecionamento e um possível teste de CAPTCHA interrompem a atividade do usuário. Recomendamos usar isso para filtrar bots quando suspeitar de atividade de spam direcionada ao site.
Quando um usuário final (usuário) acessa o site pela primeira vez, os seguintes eventos acontecem:
- Na camada do WAF, a solicitação do usuário é redirecionada para a página de desafio do reCAPTCHA.
- O reCAPTCHA responde com uma página HTML incorporada ao JavaScript reCAPTCHA.
- Quando a página de teste é renderizada, o reCAPTCHA avalia a interação do usuário. Se necessário, o reCAPTCHA oferece um teste de CAPTCHA para o usuário.
Dependendo do resultado da avaliação, o reCAPTCHA vai:
- Se a interação do usuário for aprovada na avaliação, o reCAPTCHA emitirá um cookie de isenção. O navegador anexa esse cookie de isenção às solicitações subsequentes do usuário no site até que o cookie expire. Por padrão, o cookie de isenção expira após três horas.
- Se a interação do usuário não for aprovada na avaliação, o reCAPTCHA não emitirá um cookie de isenção.
O reCAPTCHA atualiza a página da Web com o cookie de isenção se o usuário acessar a página da Web usando uma chamada GET/HEAD. Se o usuário acessar a página da Web usando uma chamada POST/PUT, o usuário precisará clicar no link de atualização da página.
O provedor de serviços do WAF isenta as solicitações que têm um cookie de isenção válido de ser redirecionado novamente e concede acesso ao site.
O diagrama de sequência a seguir mostra o fluxo de trabalho da página de teste reCAPTCHA:
Google Cloud Armor
Provedor de serviços de WAF terceirizado
reCAPTCHA expresso para WAF
Você pode usar o reCAPTCHA Express para proteger seus aplicativos em um ambiente que não oferece suporte à execução do reCAPTCHA JavaScript ou SDKs para dispositivos móveis integrados, por exemplo, dispositivos IoT e decodificadores. É possível configurar o reCAPTCHA Express na camada do WAF com um provedor de serviços do WAF ou em um ambiente independente em um servidor de aplicativos. O reCAPTCHA Express usa apenas indicadores de back-end para gerar uma pontuação de risco do reCAPTCHA.
O fluxo de trabalho expresso do reCAPTCHA WAF consiste nas seguintes etapas:
- Quando um usuário solicita acesso a uma página da Web, o provedor de serviços do WAF cria uma solicitação de avaliação para o reCAPTCHA.
- O reCAPTCHA avalia a interação do usuário e envia uma pontuação de risco.
- Com base na pontuação de risco, o provedor de serviços do WAF ou o servidor de aplicativos permite ou bloqueia o acesso.
O diagrama de sequência a seguir mostra o fluxo de trabalho expresso do reCAPTCHA WAF:
A seguir
- Saiba mais sobre os atributos de token do Google Cloud Armor.
- Integrar o reCAPTCHA para WAF com o Google Cloud Armor em sites.
- Integre o reCAPTCHA para WAF com o Google Cloud Armor em aplicativos para dispositivos móveis.
- Saiba mais sobre os atributos de token para a Fastly.
- Integrar o reCAPTCHA para WAF com o Fastly.
- Configure o reCAPTCHA Express nos servidores de aplicativos.