Recursos para integração com provedores de serviços WAF

Este documento ajuda você a entender os recursos do reCAPTCHA para WAF e determinar qual deles corresponde melhor ao seu caso de uso.

O reCAPTCHA para WAF oferece os seguintes recursos que você pode usar na integração com provedores de serviços de firewall de aplicativos da Web (WAF):

Visão geral dos recursos

A tabela a seguir mostra uma breve comparação entre tokens de ação e tokens de sessão reCAPTCHA página de desafio do reCAPTCHA e reCAPTCHA Express:

Categoria de comparação Tokens de ação reCAPTCHA Tokens de sessão reCAPTCHA Página de teste do reCAPTCHA reCAPTCHA Express
Caso de uso Use tokens de ação reCAPTCHA para proteger as ações do usuário, como login ou postagens de comentários. Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. Use a página de desafio reCAPTCHA quando suspeitar de atividade de spam direcionada ao seu site e você e não é preciso filtrar os bots.

Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA.

Use o reCAPTCHA Express quando seu ambiente não for compatível com a integração do reCAPTCHA JavaScript ou dos SDKs para dispositivos móveis.
Plataformas compatíveis Sites e apps para dispositivos móveis Sites Sites APIs, sites, apps para dispositivos móveis e dispositivos IoT, como TVs e consoles de jogos
Esforço de integração Média

A integração requer o seguinte:

  • Instale o JavaScript reCAPTCHA nas páginas individuais dos seus ou instalar o SDK reCAPTCHA para dispositivos móveis no seu aplicativo para dispositivos móveis.
  • Anexe o token de ação ao cabeçalho da solicitação individual.
  • Configurar as regras da política de segurança do Google Cloud Armor ou as políticas de firewall reCAPTCHA para provedores de serviços de WAF terceirizados.
Média

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site.
  • Configurar as regras da política de segurança do Google Cloud Armor ou as políticas de firewall do reCAPTCHA para provedores terceirizados de WAF.
Baixa

A integração exige a configuração de segurança regras de política do Google Cloud Armor ou políticas de firewall reCAPTCHA para WAF de terceiros provedores de serviços.

Baixa

A integração exige que você configure o reCAPTCHA Express com um WAF provedor de serviços ou faça uma solicitação do servidor do aplicativo para o reCAPTCHA.

Precisão da detecção Maior

Um token de ação protege as ações individuais do usuário.

Alta

Um token de sessão protege toda a sessão do usuário no domínio do site.

Média

O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa.

Baixa

Os indicadores do lado do cliente não estão disponíveis.

Versão compatível do reCAPTCHA chaves de caixa de seleção e com base em pontuação do reCAPTCHA Chaves baseadas em pontuação do reCAPTCHA A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. Chaves reCAPTCHA baseadas em pontuação

É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Confira mais exemplos.

Tokens de ação reCAPTCHA

É possível usar tokens de ação reCAPTCHA para proteger usuários importantes como finalização de compras em páginas da Web e aplicativos para dispositivos móveis.

O fluxo de trabalho de tokens de ação do reCAPTCHA consiste nas seguintes etapas:

  1. Quando um usuário final aciona uma ação protegida por o reCAPTCHA, a página da Web ou o aplicativo para dispositivos móveis envia sinais coletados no navegador ao reCAPTCHA para análise.
  2. O reCAPTCHA envia um token de ação para a página da Web ou o dispositivo móvel para o aplicativo.
  3. Anexe esse token de ação ao cabeçalho da solicitação que você quer proteger.
  4. Quando o usuário final solicita acesso com o token de ação, o provedor de serviços do WAF decodifica e valida os atributos do token de ação em vez do seu aplicativo de back-end.
  5. O provedor de serviços WAF aplica ações baseadas regras de política de segurança ou de firewall, o que for aplicável.

O diagrama de sequência a seguir mostra os tokens de ação reCAPTCHA fluxo de trabalho para sites:

Google Cloud Armor

Provedor de serviços WAF terceirizado

O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de ação reCAPTCHA para aplicativos móveis:

Tokens de sessão reCAPTCHA

Use tokens de sessão reCAPTCHA para proteger toda a sessão do usuário no domínio do site. Com um token de sessão, reutilizar uma teste reCAPTCHA que já existe por um período específico; para que nenhuma outra avaliação seja necessária para um usuário específico, reduzindo o atrito e total de chamadas reCAPTCHA necessárias.

Para ativar o reCAPTCHA para aprender sobre o padrão de navegação de seus usuários finais, recomendamos o uso de um token de sessão reCAPTCHA em todas as páginas da Web do seu site.

O fluxo de trabalho de tokens de sessão reCAPTCHA consiste nas seguintes etapas:

  1. O navegador carrega o JavaScript reCAPTCHA do reCAPTCHA.
  2. O reCAPTCHA JavaScript define um token de sessão como um cookie no navegador do usuário final após a avaliação.
  3. O navegador do usuário final armazena o cookie, e o JavaScript reCAPTCHA o atualiza a cada 30 minutos, desde que o JavaScript do reCAPTCHA permaneça ativo.
  4. Quando o usuário solicita acesso com o cookie, o provedor de serviços WAF valida esse cookie e aplica ações com base nas regras da política de segurança ou regras de política de firewall.

O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de sessão reCAPTCHA:

Google Cloud Armor

Provedor de serviços WAF terceirizado

Página de teste do reCAPTCHA

Use o recurso da página de teste do reCAPTCHA para redirecionar solicitações recebidas no reCAPTCHA e determinar se cada solicitação é potencialmente fraudulenta ou legítima.

Essa aplicação de um redirecionamento e um possível teste de CAPTCHA interrompem a atividade do usuário. Recomendamos usar isso para filtrar bots quando suspeitar de atividade de spam direcionada ao site.

Quando um usuário final (usuário) acessa o site pela primeira vez, os seguintes eventos acontecem:

  1. Na camada do WAF, a solicitação do usuário é redirecionada para a página de desafio do reCAPTCHA.
  2. O reCAPTCHA responde com uma página HTML incorporada ao JavaScript reCAPTCHA.
  3. Quando a página de teste é renderizada, o reCAPTCHA avalia a interação do usuário. Se necessário, O reCAPTCHA exibe um desafio CAPTCHA ao usuário.
  4. Dependendo do resultado da avaliação, o reCAPTCHA faz o seguinte:

    1. Se a interação do usuário for aprovada na avaliação, o reCAPTCHA emite um cookie de isenção. O navegador anexa esse cookie de isenção às solicitações subsequentes do usuário no site até que o cookie expire. Por padrão, o cookie de isenção expira após três horas.
    2. Se a interação do usuário não passar na avaliação, o reCAPTCHA não emite um cookie de isenção.
  5. O reCAPTCHA atualiza a página da Web com o cookie de isenção se o usuário acessar a página da Web usando uma chamada GET/HEAD. Se o usuário acessar a página da Web usando uma chamada POST/PUT, o usuário precisará clicar no link de atualização da página.

  6. O provedor de serviços WAF isenta solicitações que têm um cookie de isenção válido seja redirecionado novamente e conceda acesso ao seu site.

O diagrama de sequência a seguir mostra o fluxo de trabalho da página de teste reCAPTCHA:

Google Cloud Armor

Provedor de serviços de WAF terceirizado

reCAPTCHA Express para WAF

O reCAPTCHA Express pode ser usado para para proteger seus aplicativos em um ambiente sem suporte em execução de reCAPTCHA JavaScript ou SDKs integrados para dispositivos móveis, por exemplo, Conversores e dispositivos IoT. É possível configurar o reCAPTCHA Express na camada do WAF com um provedor de serviços do WAF ou em um ambiente independente em um servidor de aplicativos. O reCAPTCHA Express usa apenas indicadores de back-end para gerar uma pontuação de risco do reCAPTCHA.

O fluxo de trabalho expresso do reCAPTCHA WAF consiste nas seguintes etapas:

  1. Quando um usuário solicita acesso a uma página da Web, o provedor de serviços do WAF cria uma solicitação de avaliação para o reCAPTCHA.
  2. O reCAPTCHA avalia a interação do usuário e envia uma pontuação de risco.
  3. Com base na pontuação de risco, o provedor de serviços WAF ou o servidor de aplicativos permite ou bloqueia o acesso.

O diagrama de sequência a seguir mostra o fluxo de trabalho expresso do reCAPTCHA WAF:

A seguir