Funzionalità di integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor

L'integrazione di reCAPTCHA Enterprise per WAF e Google Cloud Armor offre le seguenti funzionalità: pagina di verifica reCAPTCHA, token d'azione reCAPTCHA e token di sessione reCAPTCHA. Questo documento ti aiuta a comprendere queste funzionalità e a determinare quale corrisponde meglio al tuo caso d'uso.

Confronto delle funzionalità

La tabella seguente mostra un breve confronto tra la pagina di verifica reCAPTCHA, i token delle azioni reCAPTCHA e i token di sessione reCAPTCHA:

Categoria di confronto Pagina di verifica reCAPTCHA Token di azione reCAPTCHA Token di sessione reCAPTCHA
Caso d'uso Utilizza la pagina di verifica reCAPTCHA quando sospetti che ci siano attività di spam indirizzate al tuo sito e devi filtrare i bot.

Questo metodo interrompe l'attività di un utente perché deve verificare una verifica CAPTCHA.

Utilizza i token di azione reCAPTCHA per proteggere le azioni degli utenti. Utilizza i token di sessione reCAPTCHA per proteggere l'intera sessione utente sul dominio del sito.
Tipo di integrazione Bassa

Per l'integrazione è necessario configurare le regole dei criteri di sicurezza di Google Cloud Armor.

Medio

L'integrazione richiede:

  • Installa il codice JavaScript di reCAPTCHA sulle singole pagine del tuo sito.
  • Allega il token di azione all'intestazione della singola richiesta.
  • Configura le regole dei criteri di sicurezza di Google Cloud Armor.
Medio

L'integrazione richiede:

  • Installa il codice JavaScript di reCAPTCHA sulle singole pagine del tuo sito.
  • Configura le regole dei criteri di sicurezza di Google Cloud Armor.
Precisione del rilevamento Medio

Il processo prevede reindirizzamenti alla pagina di verifica reCAPTCHA, che potrebbero non ricevere tutti gli indicatori specifici della pagina. Di conseguenza, il rilevamento di bot potrebbe essere meno preciso.

Massima

Un token di azione protegge un'azione dell'utente.

Alto

Un token di sessione protegge l'intera sessione utente sul dominio del sito.

Versione reCAPTCHA supportata La pagina di verifica reCAPTCHA utilizza la versione ottimizzata di reCAPTCHA per ridurre al minimo l'integrazione. Chiavi del sito basate su punteggio e reCAPTCHA Enterprise Chiavi del sito basate su punteggio reCAPTCHA Enterprise

Pagina di verifica reCAPTCHA

Puoi utilizzare la funzionalità di pagina di verifica reCAPTCHA per reindirizzare le richieste in arrivo a reCAPTCHA Enterprise per determinare se ogni richiesta è potenzialmente fraudolenta o legittima.

Questa applicazione di un reindirizzamento e di una possibile verifica CAPTCHA interrompe l'attività di un utente. Consigliamo di usarlo per escludere bot quando sospetti attività di spam indirizzate al tuo sito.

Quando un utente finale (utente) visita il tuo sito per la prima volta, si verificano i seguenti eventi:

  1. La richiesta dell'utente viene reindirizzata a reCAPTCHA Enterprise al livello WAF.
  2. reCAPTCHA Enterprise risponde con una pagina HTML incorporata con il codice JavaScript reCAPTCHA.
  3. Quando la pagina viene visualizzata, reCAPTCHA Enterprise valuta l'interazione dell'utente. Se necessario, reCAPTCHA Enterprise offre una verifica CAPTCHA all'utente.
  4. A seconda del risultato del test, reCAPTCHA Enterprise esegue le seguenti operazioni:

    1. Se l'interazione dell'utente supera il test, reCAPTCHA Enterprise emette un cookie di esenzione. Il browser allega il cookie di esenzione alle successive richieste dell'utente sullo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo 3 ore.
    2. Se l'interazione dell'utente non supera la valutazione, reCAPTCHA Enterprise non emette un cookie di esenzione.
  5. reCAPTCHA Enterprise ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web utilizzando una chiamata POST/PUT, l'utente deve fare clic sul link di ricaricamento nella pagina.

  6. Google Cloud Armor esclude le richieste con un cookie di esenzione valido dal reindirizzamento e concede l'accesso al tuo sito.

Il seguente diagramma della sequenza mostra il flusso di lavoro delle pagine di verifica reCAPTCHA:

Token di azione reCAPTCHA

Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti dell'utente, come il pagamento.

Il flusso di lavoro dei token di azione reCAPTCHA è costituito dai seguenti passaggi:

  1. Le chiavi di sito reCAPTCHA Enterprise vengono installate sulle tue pagine web.
  2. Quando l'utente finale attiva un'azione HTML protetta da reCAPTCHA, la pagina web invia a reCAPTCHA Enterprise i segnali raccolti nel browser per l'analisi.
  3. reCAPTCHA Enterprise invia un token azione alla pagina web.
  4. Allega questo token di azione all'intestazione della richiesta da proteggere.
  5. Quando l'utente richiede l'accesso con il token di azione, Google Cloud Armor decodifica e convalida gli attributi del token di azione anziché l'applicazione di backend.
  6. Google Cloud Armor applica le azioni in base alle regole dei criteri di sicurezza configurate.

Il seguente diagramma della sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA:

Attributi token azione reCAPTCHA

La tabella seguente elenca l'insieme di attributi per i token di azione reCAPTCHA:

Nome dell'attributo Tipo di dati Descrizione
score numero in virgola mobile Il punteggio da un token reCAPTCHA. Un punteggio valido compreso tra 0,0 e 1,0. Il punteggio 1,0 indica che l'interazione presenta un basso rischio ed è probabilmente legittima, mentre 0,0 indica che l'interazione rappresenta un rischio elevato e potrebbe essere fraudolenta. Per ulteriori informazioni, consulta la sezione Interpretare i punteggi.
captcha_status string Lo stato CAPTCHA di un token reCAPTCHA. Di seguito sono riportati i tre stati possibili:
  • La verifica dell'utente non comportava verifiche.
  • Le sfide erano coinvolte e l'utente le ha risolte correttamente.
  • Erano presenti sfide che l'utente non riusciva a risolvere.
action_name string action_name è il parametro di azione specificato per un'interazione dell'utente durante la chiamata a grecaptcha.enterprise.execute(). Per ulteriori informazioni, consulta la sezione Nomi delle azioni.

Token di sessione reCAPTCHA

Puoi utilizzare i token di sessione reCAPTCHA se vuoi proteggere l'intera sessione utente sul dominio del sito. Un token di sessione consente di riutilizzare una valutazione reCAPTCHA Enterprise esistente per un periodo specifico, in modo che non siano necessarie ulteriori valutazioni per un determinato utente, riducendo il rischio di utenti e il numero totale di chiamate reCAPTCHA richieste.

Per consentire a reCAPTCHA Enterprise di conoscere il pattern di navigazione dei tuoi utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.

Il flusso di lavoro dei token di sessione reCAPTCHA è costituito dai seguenti passaggi:

  1. Installi la chiave di sito basata sul punteggio di reCAPTCHA Enterprise su almeno una delle tue pagine web.
  2. Il browser carica il codice JavaScript reCAPTCHA da reCAPTCHA Enterprise.
  3. Il codice JavaScript di reCAPTCHA imposta un token di sessione come cookie sul browser dell'utente finale dopo la valutazione.
  4. Il browser dell'utente finale memorizza il cookie e JavaScript di reCAPTCHA aggiorna il cookie ogni 30 minuti finché il codice JavaScript di reCAPTCHA rimane attivo.
  5. Quando l'utente richiede l'accesso con il cookie, Google Cloud Armor convalida questo cookie e applica le azioni in base alle regole dei criteri di sicurezza.

Il seguente diagramma della sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:

Attributi token sessione reCAPTCHA

La tabella seguente elenca gli attributi per i token di sessione reCAPTCHA:

Nome dell'attributo Tipo di dati Descrizione
Score numero in virgola mobile Il punteggio da un token reCAPTCHA. Un punteggio valido compreso tra 0,0 e 1,0. Il punteggio 1,0 indica che l'interazione presenta un basso rischio ed è probabilmente legittima, mentre 0,0 indica che l'interazione rappresenta un rischio elevato e potrebbe essere fraudolenta. Per ulteriori informazioni, consulta la sezione Interpretare i punteggi.

Passaggi successivi