Features für die Integration mit WAF-Dienstanbietern

Dieses Dokument hilft Ihnen, die Features von reCAPTCHA for WAF zu verstehen und zu bestimmen, welches Feature am besten zu Ihrem Anwendungsfall passt.

reCAPTCHA for WAF bietet die folgenden Features, die Sie für die Einbindung von WAF-Dienstanbietern (Web Application Firewall) verwenden können:

• reCAPTCHA-Aktionstokens
• reCAPTCHA-Sitzungstokens
• reCAPTCHA-Herausforderungsseite
• Express-Schutz durch reCAPTCHA WAF

Übersicht über die Funktionen

Die folgende Tabelle zeigt einen kurzen Vergleich der reCAPTCHA-Aktionstokens, reCAPTCHA-Sitzungstokens, der reCAPTCHA-Herausforderungsseite und des Express-Schutzes von reCAPTCHA WAF:

Vergleichskategorie	reCAPTCHA-Aktionstokens	reCAPTCHA-Sitzungstoken	reCAPTCHA-Abfrageseite	Express-Schutz für reCAPTCHA WAF
Anwendungsfall	Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldung oder Kommentarbeiträge zu schützen.	Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen.	Verwenden Sie die reCAPTCHA-Abfrageseite, wenn Sie Spamaktivitäten auf Ihre Website vermuten und Bots herausfiltern müssen. Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss.	Verwende den Express-Schutz von reCAPTCHA WAF, wenn deine Umgebung die Integration von reCAPTCHA-JavaScript oder der mobilen SDKs nicht unterstützt.
Unterstützte Plattformen	Websites und mobile Anwendungen	Websites	Websites	APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen
Integrationsaufwand	Mittel Führen Sie für die Einbindung folgende Schritte aus: Installieren Sie den reCAPTCHA-JavaScript-Code auf den einzelnen Seiten Ihrer Website oder das reCAPTCHA Enterprise Mobile SDK in Ihrer mobilen App. Hängen Sie das Aktionstoken an den einzelnen Anfrageheader an. Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinienregeln oder reCAPTCHA-Firewallrichtlinien für WAF-Drittanbieter.	Mittel Führen Sie für die Einbindung folgende Schritte aus: Installieren Sie das reCAPTCHA-JavaScript auf den einzelnen Seiten Ihrer Website. Konfigurieren Sie Google Cloud Armor-Sicherheitsrichtlinienregeln oder reCAPTCHA-Firewallrichtlinien für WAF-Drittanbieter.	Niedrig Für die Integration müssen Sie Sicherheitsrichtlinienregeln für Google Cloud Armor oder reCAPTCHA-Firewallrichtlinien für WAF-Drittanbieter konfigurieren.	Niedrig Für die Integration müssen Sie entweder den Express-Schutz von reCAPTCHA WAF mit einem WAF-Dienstanbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA senden.
Erkennungsgenauigkeit	Höchste Ein Aktionstoken schützt einzelne Nutzeraktionen.	Hoch Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website.	Mittel Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau.	Niedrig Clientseitige Signale sind nicht verfügbar.
Unterstützte reCAPTCHA-Version	reCAPTCHA-Bewertungsbasierte und Kästchenschlüssel	Auf Punktzahlen basierende reCAPTCHA-Schlüssel	Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren.	Auf Punktzahlen basierende reCAPTCHA-Schlüssel

Sie können ein oder mehrere Funktionen von reCAPTCHA für WAF in einer einzigen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie in Beispielen.

reCAPTCHA-Aktionstokens

Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen zu schützen, z. B. beim Bezahlvorgang auf Webseiten und in mobilen Anwendungen.

Der Workflow für reCAPTCHA-Aktions-Token umfasst folgende Schritte:

1. Wenn ein Endnutzer eine durch reCAPTCHA geschützte Aktion auslöst, sendet die Webseite oder die mobile Anwendung Signale, die im Browser erfasst werden, zur Analyse an reCAPTCHA.
2. reCAPTCHA sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
3. Sie hängen dieses Aktionstoken an den Header der Anfrage an, die Sie schützen möchten.
4. Wenn der Endnutzer den Zugriff mit dem Aktionstoken anfordert, decodiert und validiert der WAF-Dienstanbieter die Aktionstokenattribute anstelle Ihrer Back-End-Anwendung.
5. Der WAF-Dienstanbieter wendet Aktionen basierend auf Ihren konfigurierten Sicherheitsrichtlinien- oder Firewallrichtlinienregeln an, je nachdem, was zutrifft.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für Websites:

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für mobile Anwendungen:

reCAPTCHA-Sitzungstoken

Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung in der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Prüfungen erforderlich sind. Dadurch werden Nutzerreibungen und die insgesamt erforderlichen reCAPTCHA-Aufrufe reduziert.

Damit reCAPTCHA das Browsermuster Ihrer Endnutzer lernt, sollten Sie auf allen Webseiten Ihrer Website ein reCAPTCHA-Sitzungstoken verwenden.

Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:

1. Der Browser lädt den reCAPTCHA-JavaScript-Code aus reCAPTCHA.
2. Das reCAPTCHA-JavaScript legt nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers ab.
3. Im Browser des Endnutzers wird das Cookie gespeichert und das reCAPTCHA-JavaScript wird, solange das reCAPTCHA JavaScript aktiv ist, alle 30 Minuten aktualisiert.
4. Wenn der Nutzer den Zugriff mit dem Cookie anfordert, validiert der WAF-Dienstanbieter dieses Cookie und wendet Aktionen basierend auf den Regeln der Sicherheitsrichtlinien oder Firewallregeln an.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Sitzungstoken-Workflow:

reCAPTCHA-Abfrageseite

Mit der reCAPTCHA-Abfrageseite können Sie eingehende Anfragen an reCAPTCHA weiterleiten und so feststellen, ob die einzelnen Anfragen potenziell betrügerisch oder legitim sind.

Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.

Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal besucht, finden die folgenden Ereignisse statt:

1. Auf der WAF-Ebene wird die Anfrage des Nutzers an die reCAPTCHA-Herausforderungsseite weitergeleitet.
2. reCAPTCHA antwortet mit einer HTML-Seite, die in reCAPTCHA-JavaScript eingebettet ist.
3. Wenn die Herausforderungsseite gerendert wird, bewertet reCAPTCHA die Nutzerinteraktion. Bei Bedarf stellt reCAPTCHA dem Nutzer eine CAPTCHA-Abfrage bereit.

4. Abhängig vom Ergebnis der Bewertung geht reCAPTCHA so vor:

   1. Wenn die Nutzerinteraktion die Bewertung besteht, gibt reCAPTCHA ein Ausnahmecookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
   2. Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA kein Ausnahmecookie aus.

5. reCAPTCHA lädt die Webseite mit dem Ausnahmecookie neu, wenn der Nutzer über einen GET/HEAD-Aufruf auf die Webseite zugreift. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.

6. Der WAF-Dienstanbieter schließt Anfragen mit einem gültigen Ausnahme-Cookie von der erneuten Weiterleitung aus und gewährt Zugriff auf Ihre Website.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Workflow auf der Seite für die Identitätsbestätigung:

Express-Schutz für reCAPTCHA WAF

Mit reCAPTCHA WAF Express-Schutz (reCAPTCHA WAF Express) können Sie Ihre Anwendungen in einer Umgebung schützen, die das Ausführen von reCAPTCHA JavaScript oder nativen mobilen SDKs nicht unterstützt, z. B. IoT-Geräte und Set-Top-Boxen. Sie können reCAPTCHA WAF Express auf der WAF-Ebene mit einem WAF-Dienstanbieter oder in einer eigenständigen Umgebung auf einem Anwendungsserver einrichten. reCAPTCHA WAF Express verwendet nur Backend-Signale, um eine reCAPTCHA-Risikobewertung zu generieren.

Der reCAPTCHA WAF Express-Workflow besteht aus den folgenden Schritten:

1. Wenn ein Nutzer Zugriff auf eine Webseite anfordert, erstellt der WAF-Dienstanbieter oder der Anwendungsserver eine Bewertungsanfrage an reCAPTCHA.
2. reCAPTCHA bewertet die Nutzerinteraktion und sendet eine Risikobewertung.
3. Je nach Risikobewertung erlaubt oder blockiert der WAF-Dienstanbieter oder der Anwendungsserver den Zugriff.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA WAF Express-Workflow:

Nächste Schritte

• Tokenattribute für Google Cloud Armor
• reCAPTCHA for WAF auf Websites in Google Cloud Armor einbinden
• reCAPTCHA for WAF in Google Cloud Armor für mobile Anwendungen einbinden
• Weitere Informationen zu Tokenattributen für Fastly
• Binden Sie reCAPTCHA for WAF in Fastly ein.
• reCAPTCHA-WAF-Express-Schutz auf einem Anwendungsserver einrichten