Este documento ajuda você a entender os recursos do reCAPTCHA para WAF e determinar qual deles corresponde melhor ao seu caso de uso.
O reCAPTCHA para WAF oferece os seguintes recursos que você pode usar na integração com provedores de serviços de firewall de aplicativos da Web (WAF):
- Tokens de ação do reCAPTCHA
- Tokens de sessão do reCAPTCHA
- Página de desafio do reCAPTCHA
- reCAPTCHA express
Visão geral dos recursos
A tabela a seguir mostra uma breve comparação entre tokens de ação e tokens de sessão reCAPTCHA página de desafio do reCAPTCHA e reCAPTCHA Express:
| Categoria de comparação | Tokens de ação reCAPTCHA | Tokens de sessão reCAPTCHA | Página de teste do reCAPTCHA | reCAPTCHA Express |
|---|---|---|---|---|
| Caso de uso | Use tokens de ação reCAPTCHA para proteger as ações do usuário, como login ou postagens de comentários. | Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. | Use a página de desafio reCAPTCHA quando suspeitar de atividade de spam direcionada ao seu site e você
e não é preciso filtrar os bots.
Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA. |
Use o reCAPTCHA Express quando seu ambiente não for compatível com a integração do reCAPTCHA JavaScript ou dos SDKs para dispositivos móveis. |
| Plataformas compatíveis | Sites e apps para dispositivos móveis | Sites | Sites | APIs, sites, apps para dispositivos móveis e dispositivos IoT, como TVs e consoles de jogos |
| Esforço de integração | Média
A integração requer o seguinte:
|
Média
A integração requer o seguinte:
|
Baixa
A integração exige a configuração de segurança regras de política do Google Cloud Armor ou políticas de firewall reCAPTCHA para WAF de terceiros provedores de serviços. |
Baixa
A integração exige que você configure o reCAPTCHA Express com um WAF provedor de serviços ou faça uma solicitação do servidor do aplicativo para o reCAPTCHA. |
| Precisão da detecção | Maior
Um token de ação protege as ações individuais do usuário. |
Alta
Um token de sessão protege toda a sessão do usuário no domínio do site. |
Média
O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa. |
Baixa
Os indicadores do lado do cliente não estão disponíveis. |
| Versão compatível do reCAPTCHA | chaves de caixa de seleção e com base em pontuação do reCAPTCHA | Chaves baseadas em pontuação do reCAPTCHA | A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. | Chaves reCAPTCHA baseadas em pontuação |
É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Confira mais exemplos.
Tokens de ação reCAPTCHA
É possível usar tokens de ação reCAPTCHA para proteger usuários importantes como finalização de compras em páginas da Web e aplicativos para dispositivos móveis.
O fluxo de trabalho de tokens de ação do reCAPTCHA consiste nas seguintes etapas:
- Quando um usuário final aciona uma ação protegida por o reCAPTCHA, a página da Web ou o aplicativo para dispositivos móveis envia sinais coletados no navegador ao reCAPTCHA para análise.
- O reCAPTCHA envia um token de ação para a página da Web ou o dispositivo móvel para o aplicativo.
- Anexe esse token de ação ao cabeçalho da solicitação que você quer proteger.
- Quando o usuário final solicita acesso com o token de ação, o provedor de serviços do WAF decodifica e valida os atributos do token de ação em vez do seu aplicativo de back-end.
- O provedor de serviços WAF aplica ações baseadas regras de política de segurança ou de firewall, o que for aplicável.
O diagrama de sequência a seguir mostra os tokens de ação reCAPTCHA fluxo de trabalho para sites:
Google Cloud Armor
Provedor de serviços WAF terceirizado
O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de ação reCAPTCHA para aplicativos móveis:
Tokens de sessão reCAPTCHA
Use tokens de sessão reCAPTCHA para proteger toda a sessão do usuário no domínio do site. Com um token de sessão, reutilizar uma teste reCAPTCHA que já existe por um período específico; para que nenhuma outra avaliação seja necessária para um usuário específico, reduzindo o atrito e total de chamadas reCAPTCHA necessárias.
Para ativar o reCAPTCHA para aprender sobre o padrão de navegação de seus usuários finais, recomendamos o uso de um token de sessão reCAPTCHA em todas as páginas da Web do seu site.
O fluxo de trabalho de tokens de sessão reCAPTCHA consiste nas seguintes etapas:
- O navegador carrega o JavaScript reCAPTCHA do reCAPTCHA.
- O reCAPTCHA JavaScript define um token de sessão como um cookie no navegador do usuário final após a avaliação.
- O navegador do usuário final armazena o cookie, e o JavaScript reCAPTCHA o atualiza a cada 30 minutos, desde que o JavaScript do reCAPTCHA permaneça ativo.
- Quando o usuário solicita acesso com o cookie, o provedor de serviços WAF valida esse cookie e aplica ações com base nas regras da política de segurança ou regras de política de firewall.
O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de sessão reCAPTCHA:
Google Cloud Armor
Provedor de serviços WAF terceirizado
Página de teste do reCAPTCHA
Use o recurso da página de teste do reCAPTCHA para redirecionar solicitações recebidas no reCAPTCHA e determinar se cada solicitação é potencialmente fraudulenta ou legítima.
Essa aplicação de um redirecionamento e um possível teste de CAPTCHA interrompem a atividade do usuário. Recomendamos usar isso para filtrar bots quando suspeitar de atividade de spam direcionada ao site.
Quando um usuário final (usuário) acessa o site pela primeira vez, os seguintes eventos acontecem:
- Na camada do WAF, a solicitação do usuário é redirecionada para a página de desafio do reCAPTCHA.
- O reCAPTCHA responde com uma página HTML incorporada ao JavaScript reCAPTCHA.
- Quando a página de teste é renderizada, o reCAPTCHA avalia a interação do usuário. Se necessário, O reCAPTCHA exibe um desafio CAPTCHA ao usuário.
Dependendo do resultado da avaliação, o reCAPTCHA faz o seguinte:
- Se a interação do usuário for aprovada na avaliação, o reCAPTCHA emite um cookie de isenção. O navegador anexa esse cookie de isenção às solicitações subsequentes do usuário no site até que o cookie expire. Por padrão, o cookie de isenção expira após três horas.
- Se a interação do usuário não passar na avaliação, o reCAPTCHA não emite um cookie de isenção.
O reCAPTCHA atualiza a página da Web com o cookie de isenção se o usuário acessar a página da Web usando uma chamada GET/HEAD. Se o usuário acessar a página da Web usando uma chamada POST/PUT, o usuário precisará clicar no link de atualização da página.
O provedor de serviços WAF isenta solicitações que têm um cookie de isenção válido seja redirecionado novamente e conceda acesso ao seu site.
O diagrama de sequência a seguir mostra o fluxo de trabalho da página de teste reCAPTCHA:
Google Cloud Armor
Provedor de serviços de WAF terceirizado
reCAPTCHA Express para WAF
O reCAPTCHA Express pode ser usado para para proteger seus aplicativos em um ambiente sem suporte em execução de reCAPTCHA JavaScript ou SDKs integrados para dispositivos móveis, por exemplo, Conversores e dispositivos IoT. É possível configurar o reCAPTCHA Express na camada do WAF com um provedor de serviços do WAF ou em um ambiente independente em um servidor de aplicativos. O reCAPTCHA Express usa apenas indicadores de back-end para gerar uma pontuação de risco do reCAPTCHA.
O fluxo de trabalho expresso do reCAPTCHA WAF consiste nas seguintes etapas:
- Quando um usuário solicita acesso a uma página da Web, o provedor de serviços do WAF cria uma solicitação de avaliação para o reCAPTCHA.
- O reCAPTCHA avalia a interação do usuário e envia uma pontuação de risco.
- Com base na pontuação de risco, o provedor de serviços WAF ou o servidor de aplicativos permite ou bloqueia o acesso.
O diagrama de sequência a seguir mostra o fluxo de trabalho expresso do reCAPTCHA WAF:
A seguir
- Saiba mais sobre os atributos de token do Google Cloud Armor.
- Integrar o reCAPTCHA para WAF com Google Cloud Armor em sites.
- Integrar o reCAPTCHA para WAF com Google Cloud Armor em aplicativos para dispositivos móveis.
- Saiba mais sobre os atributos de token para a Fastly.
- Integrar o reCAPTCHA para WAF com o Fastly.
- Configure o reCAPTCHA Express em servidores de aplicativos.