Dieses Dokument hilft Ihnen, die Features von reCAPTCHA Enterprise for WAF zu verstehen und zu bestimmen, welches Feature am besten zu Ihrem Anwendungsfall passt.
reCAPTCHA Enterprise for WAF bietet die folgenden Features, die Sie für die Einbindung in WAF-Dienstanbieter (Web Application Firewall) verwenden können:
- reCAPTCHA-Aktionstokens
- reCAPTCHA-Sitzungstokens
- Seite der reCAPTCHA-Herausforderung
- Express-Schutz für reCAPTCHA WAF
Übersicht über die Funktionen
Die folgende Tabelle zeigt einen kurzen Vergleich der reCAPTCHA-Aktionstokens, reCAPTCHA-Sitzungstokens, der reCAPTCHA-Abfrageseite und des Express-Schutzes reCAPTCHA WAF:
Vergleichskategorie | reCAPTCHA-Aktionstokens | reCAPTCHA-Sitzungstoken | reCAPTCHA-Abfrageseite | Express-Schutz für reCAPTCHA WAF |
---|---|---|---|---|
Anwendungsfall | Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldung oder Kommentarbeiträge zu schützen. | Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen. | Verwenden Sie die reCAPTCHA-Abfrageseite, wenn Sie Spamaktivitäten vermuten, die auf Ihre Website weitergeleitet wurden, und Bots herausfiltern müssen.
Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss. |
Verwenden Sie den Express-Schutz von reCAPTCHA WAF, wenn Ihre Umgebung die Integration des reCAPTCHA-JavaScripts oder der mobilen SDKs nicht unterstützt. |
Unterstützte Plattformen | Websites und mobile Apps | Websites | Websites | APIs, Websites, mobile Anwendungen und IoT-Geräte wie Fernseher und Spielekonsolen |
Integrationsaufwand | Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Niedrig
Für die Integration müssen Sie Sicherheitsrichtlinienregeln für Google Cloud Armor oder reCAPTCHA-Firewallrichtlinien für WAF-Drittanbieter konfigurieren. |
Niedrig
Für die Integration müssen Sie entweder den Express-Schutz von reCAPTCHA WAF mit einem WAF-Dienstanbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA Enterprise senden. |
Erkennungsgenauigkeit | Höchste
Ein Aktions-Token schützt einzelne Nutzeraktionen. |
Hoch
Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website. |
Mittel
Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau. |
Niedrig
Clientseitige Signale sind nicht verfügbar. |
Unterstützte reCAPTCHA-Version | Punktzahlbasierte und Kästchenschlüssel für reCAPTCHA Enterprise | Wertungsbasierte reCAPTCHA Enterprise-Schlüssel | Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren. | Wertungsbasierte reCAPTCHA Enterprise-Schlüssel |
Sie können ein oder mehrere Features von reCAPTCHA Enterprise for WAF in einer einzigen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie in Beispielen.
reCAPTCHA-Aktionstokens
Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen zu schützen, z. B. den Bezahlvorgang auf Webseiten und in mobilen Apps.
Der Workflow für reCAPTCHA-Aktions-Token umfasst folgende Schritte:
- Wenn ein Endnutzer eine durch reCAPTCHA Enterprise geschützte Aktion auslöst, sendet die Webseite oder die mobile Anwendung Signale, die im Browser erfasst werden, zur Analyse an reCAPTCHA Enterprise.
- reCAPTCHA Enterprise sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
- Dieses Aktionstoken fügen Sie an den Header der Anfrage an, die Sie schützen möchten.
- Wenn der Endnutzer den Zugriff mit dem Aktionstoken anfordert, decodiert und validiert der WAF-Dienstanbieter die Aktionstokenattribute anstelle der Back-End-Anwendung.
- Der WAF-Dienstanbieter wendet Aktionen basierend auf den konfigurierten Sicherheitsrichtlinien- oder Firewallrichtlinienregeln an, je nachdem, was zutrifft.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für Websites:
Google Cloud Armor
WAF-Drittanbieter-Dienstanbieter
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für mobile Anwendungen:
reCAPTCHA-Sitzungstoken
Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung auf der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA Enterprise-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Prüfungen erforderlich sind. Dies reduziert Nutzerprobleme und die Gesamtzahl der erforderlichen reCAPTCHA-Aufrufe.
Um reCAPTCHA Enterprise dabei zu helfen, sich über das Browsermuster Ihrer Endnutzer zu informieren, empfehlen wir die Verwendung eines reCAPTCHA-Sitzungstokens auf allen Webseiten Ihrer Website.
Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:
- Der Browser lädt das reCAPTCHA-JavaScript aus reCAPTCHA Enterprise.
- Das reCAPTCHA-JavaScript legt nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers ab.
- Im Browser des Endnutzers wird das Cookie gespeichert und das reCAPTCHA-JavaScript wird, solange das reCAPTCHA JavaScript aktiv ist, alle 30 Minuten aktualisiert.
- Wenn der Nutzer den Zugriff mit dem Cookie anfordert, validiert der WAF-Dienstanbieter dieses Cookie und wendet Aktionen anhand der Sicherheitsrichtlinien- oder Firewallregeln an.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Sitzungstoken-Workflow:
Google Cloud Armor
WAF-Drittanbieter-Dienstanbieter
reCAPTCHA-Abfrageseite
Mit der Funktion für reCAPTCHA-Herausforderungen können Sie eingehende Anfragen an reCAPTCHA Enterprise weiterleiten und so feststellen, ob eine Anfrage potenziell betrügerisch oder legitim ist.
Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.
Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal besucht, finden die folgenden Ereignisse statt:
- Auf der WAF-Ebene wird die Anfrage des Nutzers an die reCAPTCHA Enterprise-Herausforderungsseite weitergeleitet.
- reCAPTCHA Enterprise antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
- Wenn die Abfrageseite gerendert wird, bewertet reCAPTCHA Enterprise die Nutzerinteraktion. Bei Bedarf stellt reCAPTCHA Enterprise dem Nutzer eine CAPTCHA-Aufgabe bereit.
Je nach Ergebnis des Assessments führt reCAPTCHA Enterprise folgende Schritte aus:
- Wenn die Nutzerinteraktion die Bewertung besteht, gibt reCAPTCHA Enterprise ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
- Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA Enterprise kein Ausnahme-Cookie aus.
reCAPTCHA Enterprise lädt die Webseite mit dem Ausnahme-Cookie neu, wenn der Nutzer mit einem GET/HEAD-Aufruf auf die Webseite zugreift. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.
Der WAF-Dienstanbieter schließt Anfragen mit einem gültigen Ausnahme-Cookie von der erneuten Weiterleitung aus und gewährt Zugriff auf Ihre Website.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Workflow auf der Seite für die Identitätsbestätigung:
Google Cloud Armor
WAF-Drittanbieter-Dienstanbieter
Express-Schutz für reCAPTCHA WAF
Mit reCAPTCHA WAF Express-Schutz (reCAPTCHA WAF Express) können Sie Ihre Anwendungen in einer Umgebung schützen, in der reCAPTCHA JavaScript oder native mobile SDKs nicht unterstützt werden, z. B. IoT-Geräte und Set-Top-Boxen. Sie können reCAPTCHA WAF Express auf der WAF-Ebene mit einem WAF-Dienstanbieter oder in einer eigenständigen Umgebung auf einem Anwendungsserver einrichten. reCAPTCHA WAF Express verwendet nur Back-End-Signale, um eine reCAPTCHA-Risikobewertung zu generieren.
Der reCAPTCHA WAF Express-Workflow besteht aus den folgenden Schritten:
- Wenn ein Nutzer Zugriff auf eine Webseite anfordert, erstellt der WAF-Dienstanbieter oder der Anwendungsserver eine Bewertungsanfrage an reCAPTCHA Enterprise.
- reCAPTCHA Enterprise bewertet die Nutzerinteraktion und sendet eine Risikobewertung.
- Je nach Risikobewertung erlaubt oder blockiert der WAF-Dienstanbieter oder der Anwendungsserver den Zugriff.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA WAF Express-Workflow:
Nächste Schritte
- Tokenattribute für Google Cloud Armor
- reCAPTCHA Enterprise for WAF in Google Cloud Armor auf Websites einbinden
- reCAPTCHA Enterprise for WAF in Google Cloud Armor in mobilen Anwendungen einbinden
- Weitere Informationen zu den Tokenattributen für Fastly.
- reCAPTCHA Enterprise for WAF mit Fastly einbinden
- reCAPTCHA WAF Express-Schutz auf einem Anwendungsserver einrichten