Ce document vous aide à comprendre les fonctionnalités de reCAPTCHA pour WAF et à déterminer laquelle correspond le mieux à votre cas d'utilisation.
reCAPTCHA pour WAF offre les fonctionnalités suivantes que vous pouvez utiliser pour intégrer les fournisseurs de services de pare-feu d'application Web (WAF) :
- Jetons d'action reCAPTCHA
- Jetons de session reCAPTCHA
- page de test reCAPTCHA
- Protection express reCAPTCHA avec WAF
Aperçu des fonctionnalités
Le tableau suivant compare brièvement les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et la protection express reCAPTCHA Enterprise WAF:
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | Protection express reCAPTCHA Enterprise WAF |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez des jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que login ou posts de commentaires. | Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez la page de test reCAPTCHA lorsque vous pensez qu'une activité de spam est dirigée vers votre site et que vous devez filtrer les bots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez la protection express reCAPTCHA Enterprise WAF lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ou des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web. | Sites Web. | API, sites Web, applications mobiles et appareils IoT tels que les téléviseurs et les consoles de jeu |
| Effort d'intégration | Moyenne
L'intégration nécessite d'effectuer les opérations suivantes :
|
Moyenne
L'intégration nécessite d'effectuer les opérations suivantes :
|
Faible
L'intégration nécessite de configurer des règles de stratégie de sécurité pour Google Cloud Armor, ou des stratégies de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers. |
Faible
Pour procéder à l'intégration, vous devez configurer la protection express reCAPTCHA Enterprise WAF auprès d'un fournisseur de services WAF ou envoyer une requête de votre serveur d'application à reCAPTCHA. |
| Précision de la détection | Meilleure
Un jeton d'action protège les actions individuelles des utilisateurs. |
Élevée
Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site. |
Moyenne
Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise. |
Faible
Les signaux côté client ne sont pas disponibles. |
| Version de reCAPTCHA compatible | Clés basées sur un score reCAPTCHA et cases à cocher | Clés basées sur des scores reCAPTCHA | La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. | Clés basées sur des scores reCAPTCHA |
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une même application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez des exemples.
Jetons d'action reCAPTCHA
Vous pouvez utiliser des jetons d'action reCAPTCHA pour protéger les interactions utilisateur importantes, telles que le règlement sur les pages Web et les applications mobiles.
Le workflow des jetons d'action reCAPTCHA comprend les étapes suivantes :
- Lorsqu'un utilisateur final déclenche une action protégée par reCAPTCHA, la page Web ou l'application mobile envoie des signaux collectés dans le navigateur à reCAPTCHA pour analyse.
- reCAPTCHA envoie un jeton d'action à la page Web ou à l'application mobile.
- Vous devez associer ce jeton d'action à l'en-tête de la requête que vous souhaitez protéger.
- Lorsque l'utilisateur final demande l'accès avec le jeton d'action, le fournisseur de services WAF décode et valide les attributs du jeton d'action au lieu de votre application backend.
- Le fournisseur de services WAF applique des actions en fonction des règles de stratégie de sécurité ou de stratégie de pare-feu que vous avez configurées, le cas échéant.
Le schéma de séquence suivant illustre le workflow de jetons d'action reCAPTCHA pour les sites Web:
Google Cloud Armor
Fournisseur de services WAF tiers
Le schéma de séquence suivant illustre le workflow de jetons d'action reCAPTCHA pour les applications mobiles:
Jetons de session reCAPTCHA
Vous pouvez utiliser des jetons de session reCAPTCHA lorsque vous souhaitez protéger l'ensemble de la session utilisateur sur le domaine du site. Un jeton de session vous permet de réutiliser une évaluation reCAPTCHA existante pendant une période spécifiée. Ainsi, aucune autre évaluation n'est nécessaire pour un utilisateur particulier, ce qui réduit les frictions utilisateur et le nombre total d'appels reCAPTCHA requis.
Pour permettre à reCAPTCHA de connaître le modèle de navigation de vos utilisateurs finaux, nous vous recommandons d'utiliser un jeton de session reCAPTCHA sur toutes les pages Web de votre site.
Le workflow des jetons de session reCAPTCHA comprend les étapes suivantes :
- Le navigateur charge le code JavaScript reCAPTCHA à partir de reCAPTCHA.
- Le code JavaScript reCAPTCHA définit un jeton de session reCAPTCHA en tant que cookie sur le navigateur de l'utilisateur final après l'évaluation.
- Le navigateur de l'utilisateur final stocke le cookie et le code JavaScript reCAPTCHA actualise le cookie toutes les 30 minutes tant que le code JavaScript reCAPTCHA reste actif.
- Lorsque l'utilisateur demande l'accès avec le cookie, le fournisseur de services WAF valide ce cookie et applique des actions en fonction des règles de stratégie de sécurité ou de stratégie de pare-feu.
Le schéma suivant illustre le workflow des jetons de session reCAPTCHA :
Google Cloud Armor
Fournisseur de services WAF tiers
Page de test reCAPTCHA
Vous pouvez utiliser la fonctionnalité de page de test reCAPTCHA pour rediriger les requêtes entrantes vers reCAPTCHA afin de déterminer si chaque requête est potentiellement frauduleuse ou légitime.
Cette application d'une redirection et d'un test CAPTCHA éventuel interrompt l'activité de l'utilisateur. Nous vous recommandons de l'utiliser pour exclure les robots lorsque vous suspectez des activités de spam dirigées vers votre site.
Lorsqu'un utilisateur final (utilisateur) visite votre site pour la première fois, les événements suivants se produisent:
- Au niveau de la couche WAF, la requête de l'utilisateur est redirigée vers la page du défi reCAPTCHA.
- reCAPTCHA répond par une page HTML intégrée avec le code JavaScript reCAPTCHA.
- Lorsque la page de test s'affiche, reCAPTCHA évalue l'interaction utilisateur. Si nécessaire, reCAPTCHA envoie un test CAPTCHA à l'utilisateur.
En fonction du résultat de l'évaluation, reCAPTCHA effectue les opérations suivantes:
- Si l'interaction de l'utilisateur réussit l'évaluation, reCAPTCHA émet un cookie d'exception. Le navigateur joint ce cookie d'exception aux requêtes ultérieures de l'utilisateur au même site jusqu'à l'expiration du cookie. Par défaut, le cookie d'exemption expire au bout de trois heures.
- Si l'interaction de l'utilisateur échoue à l'évaluation, reCAPTCHA n'émet pas de cookie d'exception.
reCAPTCHA actualise la page Web avec le cookie d'exception si l'utilisateur y accède à l'aide d'un appel GET/HEAD. Si l'utilisateur accède à la page Web via un appel POST/PUT, il doit cliquer sur le lien d'actualisation de la page.
Le fournisseur de services WAF empêche les requêtes contenant un cookie d'exception valide d'être redirigées de nouveau et accorde l'accès à votre site.
Le schéma suivant illustre le workflow de la page de test reCAPTCHA :
Google Cloud Armor
Fournisseur de services WAF tiers
Protection express reCAPTCHA Enterprise WAF
Vous pouvez utiliser la protection express reCAPTCHA Enterprise WAF (reCAPTCHA WAF Express) pour protéger vos applications dans un environnement qui n'est pas compatible avec l'exécution de reCAPTCHA JavaScript ou de SDK mobiles natifs, comme les appareils IoT et les boîtiers décodeurs. Vous pouvez configurer reCAPTCHA WAF Express au niveau de la couche WAF avec un fournisseur de services WAF ou dans un environnement autonome sur un serveur d'applications. Le reCAPTCHA WAF Express n'utilise que des signaux de backend pour générer un score de risque reCAPTCHA.
Le workflow express reCAPTCHA WAF comprend les étapes suivantes:
- Lorsqu'un utilisateur demande l'accès à une page Web, le fournisseur de services WAF ou le serveur d'applications crée une requête d'évaluation à reCAPTCHA.
- reCAPTCHA évalue l'interaction utilisateur et envoie un score de risque.
- En fonction du score de risque, le fournisseur de services WAF ou le serveur d'applications autorise ou bloque l'accès.
Le schéma de séquence suivant illustre le workflow Express de reCAPTCHA WAF:
Étapes suivantes
- Découvrez les attributs de jeton pour Google Cloud Armor.
- Intégrez reCAPTCHA pour WAF à Google Cloud Armor sur les sites Web.
- Intégrez reCAPTCHA pour WAF à Google Cloud Armor dans les applications mobiles.
- Découvrez les attributs de jeton pour Fastly.
- Intégrez reCAPTCHA pour WAF à Fastly.
- Configurez la protection express reCAPTCHA Enterprise WAF sur un serveur d'application.