Funktionen für die Integration in einen WAF-Dienstanbieter

Dieses Dokument hilft Ihnen, die Funktionen von reCAPTCHA für WAF zu verstehen und zu ermitteln, welche Funktion am besten zu Ihrem Anwendungsfall passt.

reCAPTCHA for WAF bietet die folgenden Funktionen, die Sie für die Integration mit einem WAF-Dienstanbieter (Web Application Firewall) verwenden können:

Übersicht über die Funktionen

reCAPTCHA für WAF-Integrationen unterstützt Aktionstokens, Sitzungstokens, die Herausforderungsseite und reCAPTCHA Express.

Sie können ein oder mehrere Features von reCAPTCHA for WAF in einer einzigen Anwendung verwenden. Sie können beispielsweise ein Sitzungs-Token auf alle Seiten anwenden. Basierend auf der Punktzahl des Sitzungs-Tokens können Sie verdächtige Anfragen an die reCAPTCHA-Problemseite weiterleiten. Sie können auch ein Aktionstoken für wichtige Aktionen wie die Kasse verwenden. Weitere Informationen finden Sie unter Beispiele.

Die folgende Tabelle zeigt einen kurzen Vergleich der verfügbaren reCAPTCHA for WAF-Funktionen:

Vergleichskategorie reCAPTCHA-Aktionstokens reCAPTCHA-Sitzungstoken reCAPTCHA-Abfrageseite reCAPTCHA Express
Anwendungsfall Wird verwendet, um Nutzeraktionen wie Anmelden oder Beiträge kommentieren zu schützen. Damit können Sie die gesamte Nutzersitzung auf der Domain der Website schützen. Verwenden Sie diese Option, wenn Sie vermuten, dass Spam-Aktivitäten auf Ihre Website geleitet werden und Bots herausfiltern müssen.

Diese Methode unterbricht die Aktivität eines Nutzers, da der Nutzer eine CAPTCHA-Eingabe bestätigen muss.

 Verwenden Sie reCAPTCHA Express, wenn Ihre Umgebung die Einbindung des reCAPTCHA-JavaScript oder der Mobile SDKs nicht unterstützt.
Unterstützte Plattformen Websites und mobile Apps Websites Websites Alle HTTP-Anfragen.

Dazu gehören APIs, Websites, mobile Apps und IoT-Geräte wie Fernseher und Spielekonsolen.

Aufwand für die Clientintegration Mittel

Manuelle clientseitige Integration

 Mittel

Installieren Sie das reCAPTCHA-JavaScript manuell oder durch Einfügen in die WAF.

 Niedrig

Interstitial, das durch Sicherheitsrichtlinien ausgelöst wird.

 Niedrig

Keine Clientintegration.
Erkennungsgenauigkeit Highest

Es sind client-, server- und aktionsspezifische Signale verfügbar.

 Hoch

Es sind client- und serverspezifische Signale verfügbar.

 Mittel

Es sind client- und serverspezifische Signale verfügbar. Clientsignale sind nur auf einer Interstitials-Seite verfügbar.

 Niedrig

Es sind nur serverseitige Signale verfügbar.

Unterstützte reCAPTCHA-Version Punktebasierte reCAPTCHA-Schlüssel und Kästchenschlüssel Auf Punktzahlen basierende reCAPTCHA-Schlüssel Aufgabenbasierte reCAPTCHA-Schlüssel, die in eine Interstitials-Seite eingebettet sind reCAPTCHA Express-Schlüssel

reCAPTCHA-Aktionstokens

Sie können reCAPTCHA-Aktionstokens verwenden, um wichtige Nutzerinteraktionen wie den Bezahlvorgang auf Webseiten und in mobilen Anwendungen zu schützen.

Der Workflow für reCAPTCHA-Aktions-Token umfasst folgende Schritte:

  1. Wenn ein Endnutzer eine durch reCAPTCHA geschützte Aktion auslöst, sendet die Webseite oder die mobile Anwendung Signale, die im Browser gesammelt werden, zur Analyse an reCAPTCHA.
  2. reCAPTCHA sendet ein Aktionstoken an die Webseite oder die mobile Anwendung.
  3. Sie hängen dieses Aktionstoken an den Header der zu schützenden Anfrage an.
  4. Wenn der Endnutzer mit dem Aktionstoken Zugriff anfordert, decodiert und validiert das WAF-Plug-in die Aktionstoken-Attribute anstelle Ihrer Backend-Anwendung.
  5. Das WAF-Plug-in wendet Aktionen basierend auf Ihren konfigurierten Sicherheitsrichtlinienregeln oder Firewallrichtlinienregeln an, je nachdem, was zutrifft.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktionstoken-Workflow für Websites:

Google Cloud Armor

Drittanbieter von WAF-Diensten

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Aktions-Token-Workflow für mobile Anwendungen:

reCAPTCHA-Sitzungstoken

Sie können reCAPTCHA-Sitzungstokens verwenden, wenn Sie die gesamte Nutzersitzung auf der Domain der Website schützen möchten. Mit einem Sitzungstoken können Sie eine vorhandene reCAPTCHA-Bewertung für einen bestimmten Zeitraum wiederverwenden, sodass für einen bestimmten Nutzer keine weiteren Bewertungen erforderlich sind. Dadurch wird die Beeinträchtigung der Nutzer und die Gesamtzahl der erforderlichen reCAPTCHA-Aufrufe reduziert.

Damit reCAPTCHA das Browsermuster Ihrer Endnutzer kennenlernen kann, empfehlen wir, ein reCAPTCHA-Sitzungstoken auf allen Webseiten Ihrer Website zu verwenden.

Der Workflow für reCAPTCHA-Sitzungs-Token umfasst folgende Schritte:

  1. Der Browser lädt das reCAPTCHA-JavaScript von reCAPTCHA.
  2. Das reCAPTCHA-JavaScript legt nach der Bewertung ein Sitzungstoken als Cookie im Browser des Endnutzers fest.
  3. Im Browser des Endnutzers wird das Cookie gespeichert und das reCAPTCHA-JavaScript wird, solange das reCAPTCHA-JavaScript aktiv ist, alle 30 Minuten aktualisiert.
  4. Fordert der Nutzer Zugriff mit dem Cookie an, so validiert das WAF-Plug-in dieses Cookie und führt Aktionen basierend auf den Sicherheitsrichtlinienregeln oder Firewallrichtlinienregeln aus.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Sitzungstoken-Workflow:

Google Cloud Armor

WAF-Plug-in von Drittanbietern

reCAPTCHA-Abfrageseite

Mit der Funktion „reCAPTCHA-Herausforderung“ können Sie eingehende Anfragen an reCAPTCHA weiterleiten, um festzustellen, ob jede Anfrage potenziell betrügerisch oder legitim ist.

Diese Anwendung einer Weiterleitung und einer möglichen CAPTCHA-Aufgabe unterbricht die Aktivität eines Nutzers. Es empfiehlt sich, Bots zu herausfiltern, wenn Sie vermuten, dass Spamaktivitäten auf Ihre Website weitergeleitet werden.

Wenn ein Endnutzer (Nutzer) Ihre Website zum ersten Mal aufruft, finden folgende Ereignisse statt:

  1. Auf der WAF-Ebene wird die Nutzeranfrage zur reCAPTCHA-Challenge-Seite weitergeleitet.
  2. reCAPTCHA antwortet mit einer HTML-Seite, die in das reCAPTCHA-JavaScript eingebettet ist.
  3. Wenn die Abfrageseite gerendert wird, bewertet reCAPTCHA die Nutzerinteraktion. Bei Bedarf stellt reCAPTCHA dem Nutzer eine CAPTCHA-Aufgabe bereit.

  4. Je nach Ergebnis des Assessments führt reCAPTCHA folgende Schritte aus:

    1. Wenn die Nutzerinteraktion die Bewertung besteht, gibt reCAPTCHA ein Ausnahme-Cookie aus. Der Browser hängt dieses Ausnahme-Cookie an nachfolgende Anfragen des Nutzers an dieselbe Website an, bis das Cookie abläuft. Standardmäßig läuft das Ausnahme-Cookie nach drei Stunden ab.
    2. Wenn die Nutzerinteraktion die Bewertung nicht besteht, gibt reCAPTCHA kein Ausnahme-Cookie aus.

  5. reCAPTCHA lädt die Webseite mit dem Ausnahme-Cookie neu, wenn der Nutzer mit einem GET/HEAD-Aufruf auf die Webseite zugreift. Wenn der Nutzer über einen POST/PUT-Aufruf auf die Webseite zugreift, muss er auf den Aktualisierungslink auf der Seite klicken.

  6. Das WAF-Plug-in schließt Anfragen mit einem gültigen Ausnahme-Cookie von der erneuten Weiterleitung aus und gewährt Zugriff auf Ihre Website.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA-Workflow auf der Seite für die Identitätsbestätigung:

Google Cloud Armor

Drittanbieter von WAF-Diensten

reCAPTCHA Express für WAF

Mit reCAPTCHA Express können Sie Ihre Anwendungen in einer Umgebung schützen, in der die Ausführung von reCAPTCHA-JavaScript oder integrierten mobilen SDKs nicht unterstützt wird, z. B. auf IoT-Geräten und Set-Top-Boxen. Sie können reCAPTCHA Express in einen reCAPTCHA WAF-Dienstanbieter oder in eine Standalone-Umgebung auf einem Anwendungsserver einbinden.

Bei reCAPTCHA Express werden nur Back-End-Signale verwendet, um einen reCAPTCHA-Risikowert zu generieren. Das führt zu einer geringeren Erkennungsgenauigkeit als bei Integrationen mit einer clientseitigen Komponente. Sie können diesen Wert verwenden, um HTTP-Anfragen zu bewerten.

Der reCAPTCHA Express-Workflow besteht aus den folgenden Schritten:

  1. Wenn ein Nutzer Zugriff auf eine Webseite anfordert, sendet das WAF-Plug-in eine Anfrage zum Erstellen einer Bewertung.
  2. reCAPTCHA bewertet die Nutzerinteraktion und gibt einen Risiko-Score zurück.
  3. Anhand des Risikowerts lässt das reCAPTCHA-WAF-Plug-in oder der Anwendungsserver den Zugriff zu oder blockiert ihn.

Das folgende Sequenzdiagramm zeigt den reCAPTCHA Express-Workflow:

Nächste Schritte