Questo documento ti aiuta a comprendere le funzionalità di reCAPTCHA per WAF e determinare quale funzionalità corrisponde meglio al tuo caso d'uso.
reCAPTCHA per WAF offre le seguenti funzionalità che puoi utilizzare per eseguire l'integrazione con i fornitori di servizi di web application firewall (WAF):
- token di azione reCAPTCHA
- token di sessione reCAPTCHA
- Pagina della verifica reCAPTCHA
- reCAPTCHA express
Panoramica delle funzioni
La tabella seguente mostra un breve confronto tra i token di azione reCAPTCHA e i token di sessione reCAPTCHA. Pagina di verifica reCAPTCHA e reCAPTCHA espresso:
Categoria di confronto | Token di azione reCAPTCHA | Token di sessione reCAPTCHA | Pagina della verifica reCAPTCHA | reCAPTCHA espresso |
---|---|---|---|---|
Caso d'uso | Utilizza i token di azione reCAPTCHA per proteggere le azioni degli utenti, ad esempio accesso o commento dei post. | Utilizza i token di sessione reCAPTCHA per proteggere l'intera sessione utente nel dominio del sito. | Utilizza la pagina di verifica reCAPTCHA quando sospetti attività di spam indirizzate al tuo sito e a te
escludere i bot.
Questo metodo interrompe l'attività di un utente perché deve verificare un test CAPTCHA. |
Utilizza reCAPTCHA Express quando il tuo ambiente non supporta l'integrazione del codice JavaScript di reCAPTCHA o degli SDK mobile. |
Piattaforme supportate | Siti web e applicazioni mobile | Siti web | Siti web | API, siti web, applicazioni mobile e dispositivi IoT come TV e console per videogiochi |
Impegno di integrazione | Medio
Per l'integrazione devi:
|
Medio
Per l'integrazione devi:
|
Bassa
L'integrazione richiede la configurazione di regole dei criteri di sicurezza per Google Cloud Armor o dei criteri del firewall di reCAPTCHA per i fornitori di servizi WAF di terze parti. |
Bassa
L'integrazione richiede di configurare reCAPTCHA Express con un fornitore di servizi WAF o di inviare una richiesta da un server dell'applicazione a reCAPTCHA. |
Precisione del rilevamento | Massima
Un token di azione protegge le singole azioni degli utenti. |
Alto
Un token di sessione protegge l'intera sessione dell'utente sul dominio del sito. |
Medio
La procedura prevede reindirizzamenti alla pagina di verifica reCAPTCHA, che potrebbe non ricevere tutte gli indicatori specifici della pagina. Di conseguenza, il rilevamento dei bot potrebbe essere meno preciso. |
Bassa
Gli indicatori lato client non sono disponibili. |
Versione di reCAPTCHA supportata | Chiavi reCAPTCHA basate su punteggi e caselle di controllo | Chiavi basate sul punteggio reCAPTCHA | La pagina di verifica reCAPTCHA utilizza la versione ottimizzata reCAPTCHA per ridurre al minimo l'integrazione. | Chiavi basate sul punteggio reCAPTCHA |
Puoi utilizzare una o più funzionalità di reCAPTCHA per WAF in un'unica applicazione. Ad esempio, puoi scegliere di applicare un token di sessione per tutte le pagine e, in base al suo punteggio, puoi reindirizzare le richieste sospette alla pagina della verifica reCAPTCHA. Inoltre, puoi utilizzare un token di azione per le azioni di alto profilo, come come pagamento. Per ulteriori informazioni, vedi gli esempi.
Token di azione reCAPTCHA
Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti degli utenti, ad esempio il pagamento sulle pagine web e sulle applicazioni mobile.
Il flusso di lavoro dei token di azioni reCAPTCHA è costituito dai seguenti passaggi:
- Quando un utente finale attiva un'azione protetta da reCAPTCHA, la pagina web o l'applicazione mobile inviano indicatori raccolti nel browser a reCAPTCHA per l'analisi.
- reCAPTCHA invia un token di azione alla pagina web o al dispositivo mobile un'applicazione.
- Attacchi questo token di azione all'intestazione della richiesta che vuoi proteggere.
- Quando l'utente finale richiede l'accesso con l'action-token, il fornitore di servizi WAF decodifica e convalida gli attributi dell'action-token anziché l'applicazione di backend.
- Il fornitore di servizi WAF applica le azioni in base alle impostazioni regole del criterio di sicurezza o di firewall, a seconda di quale delle due opzioni è applicabile.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per i siti web:
Google Cloud Armor
Provider di servizi WAF di terze parti
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per le applicazioni mobile:
Token sessione reCAPTCHA
Puoi utilizzare i token di sessione reCAPTCHA quando vuoi proteggere l'intera sessione utente sul dominio del sito. Il token di sessione ti consente riutilizzare una test reCAPTCHA esistente per un periodo specificato in modo che non siano necessarie ulteriori valutazioni per un particolare utente e il numero totale di chiamate reCAPTCHA richieste.
Per consentire a reCAPTCHA di conoscere il pattern di navigazione dei tuoi utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.
Il flusso di lavoro per token di sessione reCAPTCHA è costituito dai seguenti passaggi:
- Il browser carica il codice JavaScript di reCAPTCHA da reCAPTCHA.
- Il JavaScript reCAPTCHA imposta un token di sessione come cookie su il browser dell'utente finale dopo la valutazione.
- Il browser dell'utente finale archivia il cookie e il codice JavaScript di reCAPTCHA aggiorna il cookie ogni 30 minuti purché il reCAPTCHA JavaScript rimane attivo.
- Quando l'utente richiede l'accesso con il cookie, il fornitore di servizi WAF convalida questo cookie e applica le azioni in base alle regole dei criteri di sicurezza o ai criteri del firewall.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:
Google Cloud Armor
Fornitore di servizi WAF di terze parti
Pagina di verifica reCAPTCHA
Puoi utilizzare la funzionalità della pagina di verifica reCAPTCHA per reindirizzare le richieste in arrivo a reCAPTCHA e determinare se ciascuna richiesta è potenzialmente fraudolenta o legittima.
L'applicazione di un reindirizzamento e di un possibile test CAPTCHA interrompe l'attività di un utente. Ti consigliamo di utilizzarla per escludere i bot quando sospetti spam attività indirizzate al tuo sito.
Quando un utente finale (utente) visita il tuo sito per la prima volta, si verifica quanto segue: si verificano:
- A livello WAF, la richiesta dell'utente viene reindirizzata a reCAPTCHA. pagina della sfida.
- reCAPTCHA risponde con una pagina HTML incorporata con il codice JavaScript reCAPTCHA.
- Quando viene visualizzata la pagina di verifica, reCAPTCHA valuta la interazione dell'utente. Se necessario, reCAPTCHA invia all'utente un test CAPTCHA.
A seconda del risultato della valutazione, svolge le seguenti operazioni:
- Se l'interazione dell'utente supera il test, reCAPTCHA emette un cookie di esenzione. Il browser associa questo cookie di esenzione alle richieste successive dell'utente allo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo tre ore.
- Se l'interazione dell'utente non supera la valutazione, reCAPTCHA non emette un cookie di esenzione.
reCAPTCHA ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web con una chiamata POST/PUT, l'utente deve fare clic sul link di ricaricamento sulla pagina.
Il fornitore di servizi WAF esclude le richieste con un cookie di esenzione valido venga reindirizzato nuovamente e concede l'accesso al tuo sito.
Il seguente diagramma di sequenza mostra il flusso di lavoro della pagina del test reCAPTCHA:
Google Cloud Armor
Provider di servizi WAF di terze parti
reCAPTCHA Express per il WAF
Puoi utilizzare reCAPTCHA Express per proteggere le tue applicazioni in un ambiente che non supporta l'esecuzione di JavaScript reCAPTCHA o SDK mobile integrati, ad esempio dispositivi IoT e set-top box. Puoi configurare reCAPTCHA Express a livello di livello WAF con un fornitore di servizi WAF o in un ambiente autonomo su un server di applicazioni. reCAPTCHA Express utilizza solo indicatori di backend per generare un punteggio di rischio reCAPTCHA.
Il flusso di lavoro espresso reCAPTCHA WAF prevede i seguenti passaggi:
- Quando un utente richiede l'accesso a una pagina web, il fornitore di servizi WAF crea una richiesta di valutazione a reCAPTCHA.
- reCAPTCHA valuta l'interazione dell'utente e invia un punteggio di rischio.
- In base al punteggio di rischio, il fornitore di servizi WAF o il server delle applicazioni consente o blocca l'accesso.
Il seguente diagramma di sequenza mostra l'espressa reCAPTCHA WAF flusso di lavoro personalizzato:
Passaggi successivi
- Scopri di più sugli attributi dei token per Google Cloud Armor.
- Integra reCAPTCHA per WAF con Google Cloud Armor sui siti web.
- Integra reCAPTCHA per WAF con Google Cloud Armor su applicazioni mobile.
- Scopri di più sugli attributi dei token per Fastly.
- Integra reCAPTCHA per WAF con Fastly.
- Configura reCAPTCHA Express sui server delle applicazioni.