In diesem Dokument erfahren Sie mehr über die Funktionen von reCAPTCHA für WAF und können ermitteln, welche Funktion am besten zu Ihrem Anwendungsfall passt.
reCAPTCHA for WAF bietet die folgenden Funktionen, die Sie für die Integration mit WAF-Anbietern (Web Application Firewall) verwenden können:
Übersicht über die Funktionen
Die folgende Tabelle zeigt einen kurzen Vergleich zwischen reCAPTCHA-Aktionstoken, reCAPTCHA-Sitzungstokens reCAPTCHA-Abfrageseite und reCAPTCHA Express:
Vergleichskategorie | reCAPTCHA-Aktionstokens | reCAPTCHA-Sitzungstoken | reCAPTCHA-Abfrageseite | reCAPTCHA Express |
---|---|---|---|---|
Anwendungsfall | Verwenden Sie reCAPTCHA-Aktionstokens, um Nutzeraktionen wie Anmeldung oder in den Kommentaren posten. | Verwenden Sie reCAPTCHA-Sitzungstokens, um die gesamte Nutzersitzung auf der Domain der Website zu schützen. | Verwenden Sie die reCAPTCHA-Herausforderung, wenn Sie vermuten, dass Spam-Aktivitäten auf Ihre Website geleitet werden und Bots herausfiltern müssen.
Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss. |
Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung die Einbindung von reCAPTCHA JavaScript oder den mobilen SDKs nicht unterstützt. |
Unterstützte Plattformen | Websites und mobile Apps | Websites | Websites | APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen |
Integrationsaufwand | Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Mittel
Führen Sie für die Einbindung folgende Schritte aus:
|
Niedrig
Für die Integration müssen Sie Regeln für Google Cloud Armor-Sicherheitsrichtlinien oder reCAPTCHA-Firewallrichtlinien für WAF-Dienstanbieter von Drittanbietern konfigurieren. |
Niedrig
Für die Einbindung müssen Sie entweder reCAPTCHA Express mit einem WAF-Anbieter konfigurieren oder eine Anfrage von Ihrem Anwendungsserver an reCAPTCHA senden. |
Erkennungsgenauigkeit | Highest
Ein Aktionstoken schützt einzelne Nutzeraktionen. |
Hoch
Ein Sitzungstoken schützt die gesamte Nutzersitzung auf der Domain der Website. |
Mittel
Der Prozess umfasst Weiterleitungen zur reCAPTCHA-Herausforderungsseite, die möglicherweise nicht alle seitenspezifischen Signale empfängt. Daher ist die Bot-Erkennung möglicherweise weniger genau. |
Niedrig
Clientseitige Signale sind nicht verfügbar. |
Unterstützte reCAPTCHA-Version | Wertbasierte reCAPTCHA- und Kästchenschlüssel | Wertbasierte reCAPTCHA-Schlüssel | Die reCAPTCHA-Herausforderungsseite verwendet die optimierte Version von reCAPTCHA, um die Integration zu minimieren. | Punktebasierte reCAPTCHA-Schlüssel |
Sie können eine oder mehrere Funktionen von reCAPTCHA for WAF in einer einzelnen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie unter Beispiele.
reCAPTCHA-Aktionstokens
Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen wie den Bezahlvorgang auf Webseiten und in mobilen Anwendungen zu schützen.
Der Workflow für reCAPTCHA-Aktions-Token umfasst folgende Schritte:
- Wenn ein Endnutzer eine durch reCAPTCHA geschützte Aktion auslöst, sendet die Webseite oder die mobile Anwendung Signale, die im Browser erfasst werden, zur Analyse an reCAPTCHA.
- reCAPTCHA sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
- Dieses Aktionstoken hängen Sie an den Header der Anforderung an, zu schützen.
- Wenn der Endnutzer den Zugriff mit dem Aktionstoken anfordert, decodiert und validiert der WAF-Dienstanbieter die Aktionstoken-Attribute anstelle Ihrer Backend-Anwendung.
- Der WAF-Anbieter wendet Aktionen anhand Ihrer konfigurierten Sicherheitsrichtlinienregeln oder Firewallrichtlinienregeln an, je nachdem, was zutrifft.
Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Aktionstokens auf Websites:
Google Cloud Armor
WAF-Drittanbieter-Dienstanbieter
Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Aktionstokens in mobilen Apps:
reCAPTCHA-Sitzungstoken
Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung auf der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Bewertungen erforderlich sind. Das reduziert die Nutzerfreundlichkeit und die Anzahl der erforderlichen reCAPTCHA-Aufrufe.
Um reCAPTCHA zu aktivieren, um mehr über das Browsermuster von zu erfahren Ihren Endnutzern, empfehlen wir, ein reCAPTCHA-Sitzungstoken zu verwenden, auf allen Webseiten Ihrer Website.
Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:
- Der Browser lädt das reCAPTCHA-JavaScript aus reCAPTCHA.
- Der reCAPTCHA-JavaScript-Code setzt ein Sitzungstoken als Cookie auf nach der Prüfung im Browser angezeigt.
- Der Browser des Endnutzers speichert das Cookie und das reCAPTCHA-JavaScript. aktualisiert das Cookie alle 30 Minuten, solange das reCAPTCHA JavaScript bleibt aktiv.
- Wenn der Nutzer mit dem Cookie Zugriff anfordert, validiert der WAF-Dienstanbieter dieses Cookie und wendet Aktionen an, die auf den Regeln der Sicherheitsrichtlinien oder Firewallrichtlinien-Regeln.
Das folgende Sequenzdiagramm zeigt den Workflow für reCAPTCHA-Sitzungstokens:
Google Cloud Armor
WAF-Drittanbieter
reCAPTCHA-Abfrageseite
Mit der Funktion „reCAPTCHA-Herausforderung“ können Sie eingehende Anfragen an reCAPTCHA weiterleiten, um festzustellen, ob jede Anfrage potenziell betrügerisch oder legitim ist.
Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.
Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal besucht, geschieht Folgendes: finden statt:
- Auf der WAF-Ebene wird die Anfrage des Nutzers an die reCAPTCHA-Herausforderungsseite weitergeleitet.
- reCAPTCHA antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
- Wenn die Abrufseite gerendert wird, bewertet reCAPTCHA die Nutzerinteraktion. Bei Bedarf können Sie reCAPTCHA sendet dem Nutzer eine CAPTCHA-Abfrage.
Je nach Ergebnis der Bewertung wird reCAPTCHA führt Folgendes aus:
- Wenn die Nutzerinteraktion die Prüfung besteht, wird reCAPTCHA gibt ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
- Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA kein Ausnahme-Cookie aus.
reCAPTCHA lädt die Webseite mit dem Ausnahmecookie neu, wenn Der Nutzer greift über einen GET/HEAD-Aufruf auf die Webseite zu. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.
Der WAF-Dienstanbieter nimmt Anfragen mit einem gültigen Ausnahmecookie aus nicht erneut weitergeleitet werden und Zugriff auf Ihre Website gewähren.
Das folgende Sequenzdiagramm zeigt den Workflow der reCAPTCHA-Herausforderungsseite:
Google Cloud Armor
WAF-Drittanbieter-Dienstanbieter
reCAPTCHA Express für WAF
Mit reCAPTCHA Express können Sie Ihre Anwendungen in einer Umgebung schützen, reCAPTCHA-JavaScript oder integrierte mobile SDKs ausführen, z. B. IoT-Geräte und Set-Top-Boxen Sie können reCAPTCHA Express auf der WAF-Ebene mit einem WAF-Dienstanbieter oder in einer eigenständigen Umgebung auf einem Anwendungsserver einrichten. reCAPTCHA Express verwendet nur Backend-Signale, um einen reCAPTCHA-Risikowert zu generieren.
Der Express-Workflow für reCAPTCHA WAF umfasst die folgenden Schritte:
- Wenn ein Nutzer Zugriff auf eine Webseite anfordert, fordert der WAF-Dienstanbieter erstellt eine Bewertungsanfrage an reCAPTCHA.
- reCAPTCHA bewertet die Nutzerinteraktion und sendet eine Risikobewertung.
- Je nach Risikobewertung kann der WAF-Dienstanbieter oder der den Zugriff erlaubt oder blockiert.
Das folgende Sequenzdiagramm zeigt den reCAPTCHA WAF Express Workflow:
Nächste Schritte
- Weitere Informationen zu Tokenattributen für Google Cloud Armor
- ReCAPTCHA for WAF in Google Cloud Armor auf Websites einbinden
- ReCAPTCHA for WAF in Google Cloud Armor in mobilen Anwendungen einbinden
- Weitere Informationen zu den Tokenattributen für Fastly
- reCAPTCHA for WAF mit Fastly integrieren
- reCAPTCHA Express auf Anwendungsservern einrichten