Esta página foi traduzida pela API Cloud Translation.

Interprete as avaliações de Websites

Esta página explica como interpretar uma pontuação para compreender o nível de risco que as interações dos utilizadores representam e tomar as medidas adequadas para o seu site.

O reCAPTCHA devolve uma pontuação para cada pedido com base nas interações com o seu site, independentemente do tipo de chave. Depois de receber a pontuação do reCAPTCHA, tem de a interpretar e tomar as medidas adequadas para o seu site.

Antes de começar

Crie uma avaliação para o seu Website.

Interprete a avaliação

Depois de o back-end enviar um token de resposta do reCAPTCHA de um utilizador para o reCAPTCHA, recebe uma avaliação como resposta JSON, conforme mostrado no exemplo seguinte.

Para interpretar uma avaliação, considere os seguintes parâmetros:

valid: indica se o token de resposta do utilizador fornecido é válido. Quando valid = false, o motivo é especificado em invalidReason. valid = false também pode indicar que um utilizador não conseguiu resolver um desafio ou que existe uma siteKey incompatibilidade.
invalidReason: o motivo associado à resposta quando valid = false.
action: uma interação do utilizador que acionou a validação reCAPTCHA.
expectedAction: a ação esperada de um utilizador que especificou quando criou a avaliação.
score: o nível de risco que a interação do utilizador representa.
reasons: informações adicionais sobre a forma como o reCAPTCHA interpretou a interação do utilizador.

challenge (preview): indica a resposta ao desafio para chaves de desafio baseadas em políticas. Valores possíveis: PASS, FAIL ou NOCAPTCHA.

{
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"KEY_ID",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
 "riskAnalysis":{
   "reasons":[],
   "score":"SCORE"
   "challenge":"PASS"
 },
 "tokenProperties":{
   "action":"USER_INTERACTION",
   "createTime":"TIMESTAMP",
   "hostname":"HOSTNAME",
   "invalidReason":"(ENUM)",
   "valid":(BOOLEAN)
 }
}

Valide ações

A resposta JSON contém o parâmetro action que especificou para uma interação do utilizador quando chamou execute() e o parâmetro expectedAction que especificou quando criou a avaliação.

Verifique se action corresponde a expectedAction. Por exemplo, uma ação login deve ser devolvida na sua página de início de sessão. Se existir uma incompatibilidade, indica que um atacante está a tentar falsificar ações. Pode tomar medidas contra a interação do utilizador, como adicionar validações adicionais ou bloquear a interação para evitar atividades fraudulentas.

Interprete as pontuações

O sistema de pontuação do reCAPTCHA é uma expansão das versões anteriores do reCAPTCHA para permitir uma maior granularidade nas respostas. O reCAPTCHA tem 11 níveis para pontuações com valores que variam de 0,0 a 1,0. A pontuação 1,0 indica que a interação representa um risco baixo e é muito provavelmente legítima, enquanto 0,0 indica que a interação representa um risco elevado e pode ser fraudulenta.

Dos 11 níveis, apenas os quatro níveis de pontuação seguintes estão disponíveis antes de acionar uma revisão de segurança automática adicionando uma conta de faturação ao seu projeto: 0,1, 0,3, 0,7 e 0,9.

Para pedir acesso a 11 níveis de pontuação, adicione uma conta de faturação ao seu projeto.

A pontuação de risco da defesa por SMS do reCAPTCHA funciona de forma inversa em comparação com a pontuação global do reCAPTCHA. Uma pontuação de risco de defesa de SMS do reCAPTCHA de 0,0 mostra uma confiança baixa de ocorrência de fraude de tarifação por SMS; uma pontuação de risco de 1,0 mostra uma confiança elevada de ocorrência de fraude de tarifação por SMS.

O reCAPTCHA aprende monitorizando o tráfego real no seu site. Por conseguinte, as pontuações num ambiente de teste e no prazo de 7 dias após a implementação podem diferir das pontuações de produção a longo prazo.

Se instalou chaves baseadas em pontuação, pode executar primeiro o reCAPTCHA sem tomar medidas e, em seguida, decidir sobre os limites analisando o tráfego.

Com base na pontuação, pode tomar uma medida adequada no contexto do seu site. Para proteger melhor o seu site, recomendamos que tome a ação em segundo plano em vez de bloquear o tráfego.

A tabela seguinte apresenta algumas das ações que pode realizar:

Exemplo de utilização	Ação
página inicial	Veja uma vista coesa do seu tráfego na consola do administrador enquanto filtra os raspadores.
login	Com pontuações baixas, exija a MFA ou a validação de email para evitar ataques de preenchimento de credenciais.
social	Limitar pedidos de amizade não respondidos de utilizadores abusivos e enviar comentários arriscados para moderação.
comércio eletrónico	Priorize as vendas reais em relação aos bots e identifique transações arriscadas.

Códigos do motivo

Os códigos de motivo estão disponíveis depois de acionar uma revisão de segurança automática ao adicionar uma conta de faturação ao seu projeto. Para pedir acesso aos códigos de motivo, adicione uma conta de faturação ao seu projeto.

Algumas pontuações podem ser devolvidas com códigos de motivo que fornecem informações adicionais sobre a forma como o reCAPTCHA interpretou as interações.

A tabela seguinte lista os códigos de motivo e as respetivas descrições:

Código do motivo	Descrição
AUTOMATIZAÇÃO	A interação corresponde ao comportamento de um agente automático.
UNEXPECTED_ENVIRONMENT	O evento teve origem num ambiente ilegítimo.
TOO_MUCH_TRAFFIC	O volume de tráfego da origem do evento é superior ao normal.
UNEXPECTED_USAGE_PATTERNS	A interação com o seu site foi significativamente diferente dos padrões esperados.
LOW_CONFIDENCE_SCORE	Foi recebido muito pouco tráfego deste site para gerar uma análise de risco de qualidade.

Resposta do método siteverify

O método siteverify devolve um objeto JSON com os seguintes campos quando usado para criar uma avaliação:

{
  "success": true|false,      // whether this request was a valid reCAPTCHA token for your site
  "score": number             // the score for this request (0.0 - 1.0)
  "action": string            // the action name for this request (important to verify)
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

O que se segue?

Para otimizar o modelo específico do site, pode enviar os IDs de avaliação de volta para a Google para confirmar os verdadeiros positivos e os verdadeiros negativos, ou corrigir erros. Para obter detalhes, consulte o artigo Anote avaliações.