reCAPTCHA Enterprise für WAF- und Google Cloud Armor-Integrationsfunktionen

reCAPTCHA Enterprise für WAF und Google Cloud Armor-Integration bietet die folgenden Funktionen: reCAPTCHA-Herausforderungsseite, reCAPTCHA-Aktionstokens und reCAPTCHA-Sitzungstokens Dieses Dokument hilft Ihnen, diese Funktionen zu verstehen und zu ermitteln, welches Feature am besten zu Ihrem Anwendungsfall passt.

Funktionsvergleich

Die folgende Tabelle zeigt einen kurzen Vergleich der reCAPTCHA-Herausforderungsseite, reCAPTCHA-Aktionstokens und reCAPTCHA-Sitzungstokens:

Vergleichskategorie reCAPTCHA-Abfrageseite reCAPTCHA-Aktionstokens reCAPTCHA-Sitzungstoken
Anwendungsfall Verwenden Sie die reCAPTCHA-Herausforderung, wenn Sie vermuten, dass Spam-Aktivitäten auf Ihre Website geleitet werden und Bots herausfiltern müssen.

Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss.

Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen zu schützen. Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen.
Integrationstyp Niedrig

Für die Integration müssen Sie Regeln für Google Cloud Armor-Sicherheitsrichtlinien konfigurieren.

Mittel

Für die Integration sind folgende Schritte erforderlich:

  • Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website.
  • Hängen Sie das Aktionstoken an den einzelnen Anfrageheader an.
  • Google Cloud Armor-Sicherheitsrichtlinienregeln konfigurieren
Mittel

Für die Integration sind folgende Schritte erforderlich:

  • Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website.
  • Google Cloud Armor-Sicherheitsrichtlinienregeln konfigurieren
Erkennungsgenauigkeit Mittel

Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau.

Highest

Ein Aktionstoken schützt eine Nutzeraktion.

Hoch

Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website.

Unterstützte reCAPTCHA-Version Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren. Punktebasierte Websiteschlüssel und Kästchen für Websites für reCAPTCHA Enterprise Punktebasierte Websiteschlüssel für reCAPTCHA Enterprise

reCAPTCHA-Abfrageseite

Mit der Funktion reCAPTCHA-Herausforderung können Sie eingehende Anfragen an reCAPTCHA Enterprise weiterleiten, um festzustellen, ob jede Anfrage potenziell betrügerisch oder legitim ist.

Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.

Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal aufruft, finden folgende Ereignisse statt:

  1. Die Nutzeranfrage wird an reCAPTCHA Enterprise auf der WAF-Ebene weitergeleitet.
  2. reCAPTCHA Enterprise antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
  3. Wenn die Seite gerendert wird, bewertet reCAPTCHA Enterprise die Nutzerinteraktion. Bei Bedarf stellt reCAPTCHA Enterprise dem Nutzer eine CAPTCHA-Aufgabe bereit.
  4. Je nach Ergebnis des Assessments führt reCAPTCHA Enterprise folgende Schritte aus:

    1. Wenn die Nutzerinteraktion die Bewertung besteht, gibt reCAPTCHA Enterprise ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
    2. Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA Enterprise kein Ausnahme-Cookie aus.
  5. reCAPTCHA Enterprise lädt die Webseite mit dem Ausnahme-Cookie neu, wenn der Nutzer mit einem GET/HEAD-Aufruf auf die Webseite zugreift. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.

  6. Google Cloud Armor schließt Anfragen mit einem gültigen Ausnahme-Cookie von der erneuten Weiterleitung aus und gewährt Zugriff auf Ihre Website.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Workflow auf der Seite für die Identitätsbestätigung:

reCAPTCHA-Aktionstokens

Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen wie den Bezahlvorgang zu schützen.

Bei diesem Feature installieren Sie die reCAPTCHA Enterprise-Websiteschlüssel auf Ihren Webseiten. Bei einer Nutzerinteraktion sendet reCAPTCHA Enterprise eine verschlüsselte Antwort, die als Aktionstoken bezeichnet wird, an den Browser des Endnutzers. Sie hängen dieses Aktionstoken an einen vordefinierten Anfrageheader an, wo immer die Nutzeraktion geschützt werden muss. Google Cloud Armor decodiert und validiert die Aktionstoken-Attribute anstelle Ihrer Back-End-Anwendung. Sie können Sicherheitsrichtlinienregeln basierend auf verschiedenen Attributen aus dem Aktionstoken konfigurieren, ohne dass eine Tokenbewertung Ihrer Back-End-Anwendung erforderlich ist.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktions-Token-Workflow:

reCAPTCHA-Aktionstoken-Attribute

In der folgenden Tabelle sind die Attribute für reCAPTCHA-Aktionstokens aufgeführt:

Attributname Datentyp Beschreibung
score float Die Punktzahl eines reCAPTCHA-Tokens. Eine gültige Bewertung liegt zwischen 0,0 und 1,0. Der Wert 1,0 gibt an, dass die Interaktion ein geringes Risiko darstellt und wahrscheinlich legitim ist. 0,0 gibt an, dass die Interaktion ein hohes Risiko darstellt und möglicherweise betrügerisch ist. Weitere Informationen finden Sie unter Punktzahlen interpretieren.
captcha_status String Der CAPTCHA-Status von einem reCAPTCHA-Token. Es gibt drei mögliche Status:
  • Die Bewertung war nicht relevant, wenn der Nutzer bewertet wurde.
  • Die Herausforderungen waren beteiligt und der Nutzer hat sie richtig gelöst.
  • Die Herausforderungen waren beteiligt und der Nutzer konnte sie nicht lösen.
action_name String action_name ist der Aktionsparameter, den Sie beim Aufrufen von grecaptcha.enterprise.execute() für eine Nutzerinteraktion angegeben haben. Weitere Informationen finden Sie unter Aktionsnamen.

reCAPTCHA-Sitzungstoken

Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung auf der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA Enterprise-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Bewertungen erforderlich sind, um die Belastung von reCAPTCHA Enterprise zu reduzieren.

Bei dieser Funktion legt das reCAPTCHA-JavaScript nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers fest. Der Browser des Endnutzers hängt das Cookie an und aktualisiert das Cookie, solange das reCAPTCHA-JavaScript aktiv bleibt. Google Cloud Armor validiert dieses Cookie und wendet Aktionen basierend auf den Sicherheitsrichtlinienregeln an.

Um reCAPTCHA Enterprise dabei zu helfen, sich über das Browsermuster Ihrer Endnutzer zu informieren, empfehlen wir die Verwendung eines reCAPTCHA-Sitzungstokens auf allen Webseiten Ihrer Website.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Sitzungstoken-Workflow:

reCAPTCHA-Sitzungstoken-Attribute

In der folgenden Tabelle sind die Attribute für reCAPTCHA-Sitzungstokens aufgeführt:

Attributname Datentyp Beschreibung
Score float Die Punktzahl eines reCAPTCHA-Tokens. Eine gültige Bewertung liegt zwischen 0,0 und 1,0. Der Wert 1,0 gibt an, dass die Interaktion ein geringes Risiko darstellt und wahrscheinlich legitim ist. 0,0 gibt an, dass die Interaktion ein hohes Risiko darstellt und möglicherweise betrügerisch ist. Weitere Informationen finden Sie unter Punktzahlen interpretieren.

Nächste Schritte