Recursos de integração do reCAPTCHA Enterprise para WAF e Google Cloud Armor

A integração do reCAPTCHA Enterprise para WAF e Google Cloud Armor oferece os seguintes recursos: página de teste do reCAPTCHA, tokens de ação reCAPTCHA e tokens de sessão reCAPTCHA. Neste documento, você entenderá esses recursos e determinará qual corresponde melhor ao seu caso de uso.

Comparação de recursos

A tabela a seguir mostra uma breve comparação da página de teste, dos tokens de ação e dos tokens de sessão reCAPTCHA:

Categoria de comparação Página de teste do reCAPTCHA Tokens de ação reCAPTCHA Tokens de sessão reCAPTCHA
Caso de uso Use a página de teste do reCAPTCHA quando você suspeitar que há atividades de spam direcionadas ao site e precisar filtrar bots.

Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA.

Use tokens de ação reCAPTCHA para proteger as ações do usuário. Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site.
Tipo de integração Baixa

A integração requer que você configure regras de política de segurança do Google Cloud Armor.

Média

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site.
  • Anexe o token de ação ao cabeçalho da solicitação individual.
  • Configurar as regras da política de segurança do Google Cloud Armor.
Média

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site.
  • Configurar as regras da política de segurança do Google Cloud Armor.
Precisão da detecção Média

O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa.

Maior

Um token de ação protege uma ação do usuário.

Alta

Um token de sessão protege toda a sessão do usuário no domínio do site.

Versão compatível do reCAPTCHA A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. Chaves de site reCAPTCHA Enterprise baseadas em pontuação e com caixa de seleção Chaves de site reCAPTCHA Enterprise baseadas em pontuação

Página de teste do reCAPTCHA

Use o recurso página de teste do reCAPTCHA para redirecionar solicitações recebidas no reCAPTCHA Enterprise e determinar se cada solicitação é potencialmente fraudulenta ou legítima.

Essa aplicação de um redirecionamento e um possível teste de CAPTCHA interrompem a atividade do usuário. Recomendamos usar isso para filtrar bots quando suspeitar de atividade de spam direcionada ao site.

Quando um usuário final (usuário) acessa o site pela primeira vez, acontece o seguinte:

  1. A solicitação do usuário é redirecionada para o reCAPTCHA Enterprise na camada do WAF.
  2. O reCAPTCHA Enterprise responde com uma página HTML incorporada ao reCAPTCHA JavaScript.
  3. Quando a página é renderizada, o reCAPTCHA Enterprise avalia a interação do usuário. Se necessário, o reCAPTCHA Enterprise veicula um teste de CAPTCHA para o usuário.
  4. Dependendo do resultado da avaliação, o reCAPTCHA Enterprise realizará as seguintes ações:

    1. Se a interação do usuário for aprovada na avaliação, o reCAPTCHA Enterprise emitirá um cookie de isenção. O navegador anexa esse cookie de isenção às solicitações subsequentes do usuário no site até que o cookie expire. Por padrão, o cookie de isenção expira após três horas.
    2. Se a interação do usuário não for aprovada na avaliação, o reCAPTCHA Enterprise não emitirá um cookie de isenção.
  5. O reCAPTCHA Enterprise atualiza a página da Web com o cookie de isenção se o usuário acessar a página da Web usando uma chamada GET/HEAD. Se o usuário acessar a página da Web usando uma chamada POST/PUT, o usuário precisará clicar no link de atualização da página.

  6. O Google Cloud Armor isenta as solicitações que têm um cookie de isenção válido de ser redirecionado novamente e concede acesso ao site.

O seguinte diagrama de sequência mostra o fluxo de trabalho da página de teste reCAPTCHA:

Tokens de ação reCAPTCHA

É possível usar tokens de ação reCAPTCHA para proteger interações importantes do usuário, como a finalização da compra.

O fluxo de trabalho de tokens de ação do reCAPTCHA consiste nas seguintes etapas:

  1. Você instala as chaves de site do reCAPTCHA Enterprise nas suas páginas da Web.
  2. Quando o usuário final aciona uma ação HTML protegida pelo reCAPTCHA, a página da Web envia sinais coletados no navegador ao reCAPTCHA Enterprise para análise.
  3. O reCAPTCHA Enterprise envia um token de ação para a página da Web.
  4. Anexe esse token de ação ao cabeçalho da solicitação que você quer proteger.
  5. Quando o usuário solicita acesso com o token de ação, o Google Cloud Armor decodifica e valida os atributos do token de ação em vez do aplicativo de back-end.
  6. O Google Cloud Armor aplica ações com base nas regras de política de segurança configuradas.

O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de ação reCAPTCHA:

Atributos de tokens de ação reCAPTCHA

A tabela a seguir lista o conjunto de atributos para tokens de ação reCAPTCHA:

Nome do atributo Tipo de dado Descrição
score float A pontuação de um token reCAPTCHA. Uma pontuação válida varia de 0,0 a 1,0. A pontuação 1,0 indica que a interação apresenta risco baixo e é provavelmente legítima, enquanto 0,0 indica que a interação apresenta alto risco e pode ser fraudulenta. Para mais informações, consulte Como interpretar pontuações.
captcha_status string O status do CAPTCHA de um token reCAPTCHA. Veja a seguir os três status possíveis:
  • Os testes não foram envolvidos na avaliação do usuário.
  • Os testes foram envolvidos e o usuário resolveu corretamente.
  • Os testes foram envolvidos e o usuário não conseguiu resolver.
action_name string O action_name é o parâmetro de ação que você especificou para uma interação do usuário ao chamar grecaptcha.enterprise.execute(). Para mais informações, consulte Nomes de ação.

Tokens de sessão reCAPTCHA

Use tokens de sessão reCAPTCHA quando quiser proteger toda a sessão do usuário no domínio do site. Um token de sessão permite reutilizar uma avaliação existente do reCAPTCHA Enterprise por um período especificado. Assim, nenhuma outra avaliação é necessária para um usuário específico, o que reduz a carga no reCAPTCHA Enterprise.

Para permitir que o reCAPTCHA Enterprise aprenda sobre o padrão de navegação dos usuários finais, recomendamos usar um token de sessão reCAPTCHA em todas as páginas da Web do site.

O fluxo de trabalho de tokens de sessão reCAPTCHA consiste nas seguintes etapas:

  1. Instale a chave de site baseada na pontuação do reCAPTCHA Enterprise em pelo menos uma das suas páginas da Web.
  2. O navegador carrega o JavaScript reCAPTCHA do reCAPTCHA Enterprise (em inglês).
  3. O reCAPTCHA JavaScript define um token de sessão como um cookie no navegador do usuário final após a avaliação.
  4. O navegador do usuário final armazena o cookie, e o JavaScript reCAPTCHA o atualiza a cada 30 minutos, desde que o JavaScript do reCAPTCHA permaneça ativo.
  5. Quando o usuário solicita acesso com o cookie, o Google Cloud Armor valida esse cookie e aplica ações com base nas regras da política de segurança.

O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de sessão reCAPTCHA:

Atributos de tokens de sessão reCAPTCHA

A tabela a seguir lista os atributos de tokens de sessão reCAPTCHA:

Nome do atributo Tipo de dado Descrição
Score float A pontuação de um token reCAPTCHA. Uma pontuação válida varia de 0,0 a 1,0. A pontuação 1,0 indica que a interação apresenta risco baixo e é provavelmente legítima, enquanto 0,0 indica que a interação apresenta alto risco e pode ser fraudulenta. Para mais informações, consulte Como interpretar pontuações.

A seguir