Funktionen für die Integration mit WAF-Dienstanbietern

In diesem Dokument erfahren Sie mehr über die Funktionen von reCAPTCHA für WAF und können ermitteln, welche Funktion am besten zu Ihrem Anwendungsfall passt.

reCAPTCHA for WAF bietet die folgenden Funktionen, mit denen Sie die Lösung in WAF-Dienstanbieter einbinden können:

• reCAPTCHA-Aktionstokens
• reCAPTCHA-Sitzungstokens
• reCAPTCHA-Abfrageseite
• reCAPTCHA Express

Übersicht über die Funktionen

Die folgende Tabelle zeigt einen kurzen Vergleich von reCAPTCHA-Aktionstokens, reCAPTCHA-Sitzungstokens, reCAPTCHA-Herausforderungsseiten und reCAPTCHA Express:

Vergleichskategorie	reCAPTCHA-Aktionstokens	reCAPTCHA-Sitzungstoken	reCAPTCHA-Abfrageseite	reCAPTCHA Express
Anwendungsfall	Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldungen oder Kommentare zu schützen.	Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen.	Verwenden Sie die reCAPTCHA-Herausforderung, wenn Sie vermuten, dass Spam-Aktivitäten auf Ihre Website geleitet werden und Bots herausfiltern müssen. Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss.	Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung die Einbindung des reCAPTCHA-JavaScripts oder der mobilen SDKs nicht unterstützt.
Unterstützte Plattformen	Websites und mobile Apps	Websites	Websites	APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen
Integrationsaufwand	Mittel Führen Sie für die Einbindung folgende Schritte aus: Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website oder das reCAPTCHA Mobile SDK in Ihrer mobilen Anwendung. Hängen Sie das Aktionstoken an den einzelnen Anfrageheader an. Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern.	Mittel Führen Sie für die Einbindung folgende Schritte aus: Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website. Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern.	Niedrig Für die Integration müssen Sie Regeln für Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern konfigurieren.	Niedrig Für die Einbindung müssen Sie entweder reCAPTCHA Express mit einem WAF-Anbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA senden.
Erkennungsgenauigkeit	Highest Ein Aktionstoken schützt einzelne Nutzeraktionen.	Hoch Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website.	Mittel Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau.	Niedrig Clientseitige Signale sind nicht verfügbar.
Unterstützte reCAPTCHA-Version	Punktebasierte und Kästchenschlüssel für reCAPTCHA	Punktebasierte reCAPTCHA-Schlüssel	Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren.	Punktebasierte reCAPTCHA-Schlüssel

Sie können eine oder mehrere reCAPTCHA for WAF-Funktionen in einer einzelnen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie unter Beispiele.

reCAPTCHA-Aktionstokens

Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen wie den Bezahlvorgang auf Webseiten und in mobilen Anwendungen zu schützen.

Der Workflow für reCAPTCHA-Aktions-Token umfasst folgende Schritte:

1. Wenn ein Endnutzer eine durch reCAPTCHA geschützte Aktion auslöst, sendet die Webseite oder die mobile Anwendung Signale, die im Browser gesammelt werden, zur Analyse an reCAPTCHA.
2. reCAPTCHA sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
3. Sie hängen dieses Aktionstoken an den Header der zu schützenden Anfrage an.
4. Wenn der Endnutzer den Zugriff mit dem Aktionstoken anfordert, decodiert und validiert der WAF-Dienstanbieter die Aktionstoken-Attribute anstelle Ihrer Backend-Anwendung.
5. Der WAF-Anbieter wendet Aktionen anhand Ihrer konfigurierten Sicherheitsrichtlinienregeln oder Firewallrichtlinienregeln an, je nachdem, was zutrifft.

Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Aktionstokens auf Websites:

Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Aktionstokens in mobilen Apps:

reCAPTCHA-Sitzungstoken

Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung auf der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Bewertungen erforderlich sind. Das reduziert die Nutzerfreundlichkeit und die Anzahl der erforderlichen reCAPTCHA-Aufrufe.

Damit reCAPTCHA das Browsermuster Ihrer Endnutzer besser erkennen kann, empfehlen wir die Verwendung eines reCAPTCHA-Sitzungstokens auf allen Webseiten Ihrer Website.

Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:

1. Der Browser lädt das reCAPTCHA-JavaScript aus reCAPTCHA.
2. Das reCAPTCHA-JavaScript legt nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers ab.
3. Im Browser des Endnutzers wird das Cookie gespeichert und das reCAPTCHA-JavaScript wird, solange das reCAPTCHA-JavaScript aktiv ist, alle 30 Minuten aktualisiert.
4. Wenn der Nutzer Zugriff mit dem Cookie anfordert, validiert der WAF-Dienstanbieter dieses Cookie und führt Aktionen basierend auf den Sicherheitsrichtlinien- oder Firewallrichtlinienregeln aus.

Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Sitzungstokens:

reCAPTCHA-Abfrageseite

Mit der Funktion „reCAPTCHA-Herausforderung“ können Sie eingehende Anfragen an reCAPTCHA weiterleiten, um festzustellen, ob jede Anfrage potenziell betrügerisch oder legitim ist.

Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.

Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal aufruft, finden folgende Ereignisse statt:

1. Auf der WAF-Ebene wird die Anfrage des Nutzers an die reCAPTCHA-Herausforderungsseite weitergeleitet.
2. reCAPTCHA antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
3. Wenn die Abrufseite gerendert wird, bewertet reCAPTCHA die Nutzerinteraktion. Bei Bedarf stellt reCAPTCHA dem Nutzer eine CAPTCHA-Aufgabe bereit.

4. Je nach Ergebnis der Bewertung führt reCAPTCHA folgende Schritte aus:

   1. Wenn die Nutzerinteraktion die Bewertung besteht, gibt reCAPTCHA ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
   2. Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA kein Ausnahme-Cookie aus.

5. reCAPTCHA lädt die Webseite mit dem Ausnahme-Cookie neu, wenn der Nutzer mit einem GET/HEAD-Aufruf auf die Webseite zugreift. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.

6. Der WAF-Anbieter schließt Anfragen mit einem gültigen Ausnahme-Cookie von der erneuten Weiterleitung aus und gewährt Zugriff auf Ihre Website.

Das folgende Sequenzdiagramm zeigt den Workflow der reCAPTCHA-Herausforderungsseite:

reCAPTCHA Express für WAF

Sie können reCAPTCHA Express verwenden, um Ihre Anwendungen in einer Umgebung zu schützen, in der das Ausführen von reCAPTCHA JavaScript oder integrierten mobilen SDKs nicht unterstützt wird, z. B. auf IoT-Geräten und Set-Top-Boxen. Sie können reCAPTCHA Express in der WAF-Ebene mit einem WAF-Dienstanbieter oder in einer eigenständigen Umgebung auf einem Anwendungsserver einrichten. reCAPTCHA Express verwendet nur Backend-Signale, um einen reCAPTCHA-Risikowert zu generieren.

Der Express-Workflow für reCAPTCHA WAF umfasst die folgenden Schritte:

1. Wenn ein Nutzer den Zugriff auf eine Webseite anfordert, erstellt der WAF-Dienstanbieter eine Bewertungsanfrage an reCAPTCHA.
2. reCAPTCHA bewertet die Nutzerinteraktion und sendet einen Risiko-Score.
3. Basierend auf dem Risikowert erlaubt oder blockiert der WAF-Dienstanbieter oder der Anwendungsserver den Zugriff.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA WAF Express-Workflow:

Nächste Schritte

• Weitere Informationen zu Tokenattributen für Google Cloud Armor
• ReCAPTCHA for WAF in Google Cloud Armor auf Websites einbinden
• ReCAPTCHA for WAF in Google Cloud Armor in mobilen Anwendungen einbinden
• Weitere Informationen zu den Tokenattributen für Fastly
• reCAPTCHA for WAF mit Fastly integrieren
• reCAPTCHA Express auf Anwendungsservern einrichten