En este documento, encontrarás ayuda para comprender las funciones de reCAPTCHA para WAF y determinar cuáles coinciden mejor con tu caso de uso.
reCAPTCHA para WAF ofrece las siguientes funciones que puedes usar para integrarte con un proveedor de servicios de firewall de aplicación web (WAF):
- Tokens de acción de reCAPTCHA
- Tokens de sesión de reCAPTCHA
- Página de desafío de reCAPTCHA
- reCAPTCHA Express
Descripción general de las funciones
Las integraciones de reCAPTCHA para WAF admiten tokens de acción, tokens de sesión, la página de desafío y reCAPTCHA Express.
Puedes usar una o más funciones de reCAPTCHA para WAF en una sola aplicación. Por ejemplo, puedes optar por aplicar un token de sesión a todas las páginas y, según la puntuación del token de sesión, puedes redireccionar las solicitudes sospechosas a la página de desafío de reCAPTCHA. También puedes usar un token de acción para acciones de alto perfil, como el pago. Para obtener más información, consulta los ejemplos.
En la siguiente tabla, se muestra una breve comparación de las funciones disponibles de reCAPTCHA para WAF:
| Categoría de comparación | Tokens de acción de reCAPTCHA | Tokens de sesión de reCAPTCHA | Página de desafío de reCAPTCHA | reCAPTCHA Express |
|---|---|---|---|---|
| Caso de uso | Se usa para proteger las acciones del usuario, como acceder o publicar comentarios. | Se usa para proteger toda la sesión del usuario en el dominio del sitio. | Úsala cuando sospeches que hay actividad de spam dirigida a tu sitio y necesites filtrar los bots.
Este método interrumpe la actividad del usuario porque este debe verificar un desafío de CAPTCHA. |
Usa reCAPTCHA Express cuando tu entorno no admita la integración de JavaScript de reCAPTCHA o los SDKs para dispositivos móviles. |
| Plataformas compatibles | Sitios web y aplicaciones para dispositivos móviles | Sitios web | Sitios web | Todas las solicitudes HTTP. Incluye APIs, sitios web, aplicaciones para dispositivos móviles y dispositivos IoT, como TVs y consolas de juegos. |
| Esfuerzo de integración del cliente | Medio
Integración manual del cliente |
Medio
Instala el código JavaScript de reCAPTCHA de forma manual o por medio de la inserción en el WAF. |
Baja
Anuncio intersticial activado por políticas de seguridad. |
Baja
No hay integración del cliente. |
| Precisión de detección | Highest (Más alta)
Hay indicadores específicos de la acción, el cliente y el servidor disponibles. |
Alto
Hay indicadores específicos del cliente y del servidor disponibles. |
Medio
Hay indicadores específicos del cliente y del servidor disponibles. Los indicadores del cliente solo están disponibles en una página intersticial. |
Baja
Solo están disponibles los indicadores del servidor. |
| Versión de reCAPTCHA compatible | Claves de reCAPTCHA basadas en la puntuación y en la casilla de verificación | Claves de reCAPTCHA basadas en la puntuación | Claves basadas en desafíos de reCAPTCHA integradas en una página intersticial | Claves de reCAPTCHA Express |
Tokens de acción de reCAPTCHA
Puedes usar los tokens de acción de reCAPTCHA para proteger las interacciones importantes del usuario, como la confirmación de compra en páginas web y aplicaciones para dispositivos móviles.
El flujo de trabajo de los tokens de acción de reCAPTCHA consta de los siguientes pasos:
- Cuando un usuario final activa una acción protegida por reCAPTCHA, la página web o la aplicación para dispositivos móviles envían indicadores que se recopilan en el navegador en reCAPTCHA para su análisis.
- reCAPTCHA envía un token de acción a la página web o a la aplicación para dispositivos móviles.
- Adjunta este token de acción al encabezado de la solicitud que deseas proteger.
- Cuando el usuario final solicita acceso con el token de acción, el complemento del WAF decodifica y valida los atributos del token de acción en lugar de tu aplicación de backend.
- El complemento del WAF aplica acciones según las reglas de política de seguridad o las reglas de política de firewall que hayas configurado, según corresponda.
En el siguiente diagrama de secuencia, se muestra el flujo de trabajo de los tokens de acción de reCAPTCHA para sitios web:
Google Cloud Armor
Proveedor externo de servicios de WAF
En el siguiente diagrama de secuencia, se muestra el flujo de trabajo de los tokens de acción de reCAPTCHA para aplicaciones para dispositivos móviles:
Tokens de sesión de reCAPTCHA
Puedes usar tokens de sesión de reCAPTCHA cuando quieras proteger toda la sesión del usuario en el dominio del sitio. Un token de sesión te permite reutilizar una evaluación de reCAPTCHA existente durante un período específico, de modo que no se necesiten más evaluaciones para un usuario en particular, lo que reduce la fricción del usuario y la cantidad total de llamadas a reCAPTCHA necesarias.
Para permitir que reCAPTCHA aprenda sobre el patrón de navegación de tus usuarios finales, te recomendamos que uses un token de sesión de reCAPTCHA en todas las páginas web de tu sitio.
El flujo de trabajo de los tokens de sesión de reCAPTCHA consta de los siguientes pasos:
- El navegador carga el JavaScript de reCAPTCHA desde reCAPTCHA.
- El JavaScript de reCAPTCHA establece un token de sesión como una cookie en el navegador del usuario final después de la evaluación.
- El navegador del usuario final almacena la cookie y el JavaScript de reCAPTCHA actualiza la cookie cada 30 minutos mientras el JavaScript de reCAPTCHA permanezca activo.
- Cuando el usuario solicita acceso con la cookie, el complemento del WAF valida esta cookie y aplica acciones según las reglas de la política de seguridad o las reglas de la política de firewall.
En el siguiente diagrama de secuencia, se muestra el flujo de trabajo de los tokens de sesión de reCAPTCHA:
Google Cloud Armor
Complemento de WAF de terceros
Página de desafío de reCAPTCHA
Puedes usar la función de página de desafío de reCAPTCHA para redireccionar las solicitudes entrantes a reCAPTCHA y determinar si cada solicitud es potencialmente fraudulenta o legítima.
Esta aplicación de un redireccionamiento y un posible desafío de CAPTCHA interrumpen la actividad del usuario. Te recomendamos que lo uses para filtrar los bots cuando sospeches que hay actividad de spam dirigida a tu sitio.
Cuando un usuario final (usuario) visita tu sitio por primera vez, se producen los siguientes eventos:
- En la capa de WAF, la solicitud del usuario se redirecciona a la página de desafío de reCAPTCHA.
- reCAPTCHA responde con una página HTML incorporada con el JavaScript de reCAPTCHA.
- Cuando se renderiza la página de desafío, reCAPTCHA evalúa la interacción del usuario. Si es necesario, reCAPTCHA le muestra al usuario un desafío de CAPTCHA.
Según el resultado de la evaluación, reCAPTCHA hace lo siguiente:
- Si la interacción del usuario pasa la evaluación, reCAPTCHA emite una cookie de exención. El navegador adjunta esta cookie de exención a las solicitudes posteriores del usuario al mismo sitio hasta que la cookie vence. De forma predeterminada, la cookie de exención vence después de tres horas.
- Si la interacción del usuario no pasa la evaluación, reCAPTCHA no emite una cookie de exención.
reCAPTCHA vuelve a cargar la página web con la cookie de exención si el usuario accede a ella con una llamada GET/HEAD. Si el usuario accede a la página web con una llamada POST o PUT, debe hacer clic en el vínculo de recarga de la página.
El complemento del WAF exime de redireccionamientos adicionales a las solicitudes que tienen una cookie de exención válida y otorga acceso a tu sitio.
En el siguiente diagrama de secuencia, se muestra el flujo de trabajo de la página de desafío de reCAPTCHA:
Google Cloud Armor
Proveedor externo de servicios de WAF
reCAPTCHA exprés para WAF
Puedes usar reCAPTCHA Express para proteger tus aplicaciones en un entorno que no admite la ejecución de JavaScript de reCAPTCHA ni SDKs integrados para dispositivos móviles, por ejemplo, dispositivos IoT y decodificadores. Puedes integrar reCAPTCHA Express con un proveedor de servicios de WAF de reCAPTCHA o en un entorno independiente en un servidor de aplicaciones.
reCAPTCHA Express solo usa indicadores de backend para generar una puntuación de riesgo de reCAPTCHA, lo que genera una menor precisión de detección que las integraciones que involucran un componente del cliente. Puedes usar esta puntuación para evaluar cualquier solicitud HTTP.
El flujo de trabajo de reCAPTCHA Express consta de los siguientes pasos:
- Cuando un usuario solicita acceso a una página web, el complemento del WAF envía una solicitud para crear una evaluación.
- reCAPTCHA evalúa la interacción del usuario y devuelve una puntuación de riesgo.
- Según la puntuación de riesgo, el complemento del WAF de reCAPTCHA o el servidor de aplicaciones permiten o bloquean el acceso.
En el siguiente diagrama de secuencia, se muestra el flujo de trabajo de reCAPTCHA Express:
¿Qué sigue?
- Obtén más información sobre los atributos de tokens para Google Cloud Armor.
- Integra reCAPTCHA para WAF con Google Cloud Armor en sitios web.
- Integra reCAPTCHA para WAF con Google Cloud Armor en aplicaciones para dispositivos móviles.
- Obtén más información sobre los atributos de token para Fastly.
- Integra reCAPTCHA para WAF con Fastly.
- Configura reCAPTCHA Express en los servidores de aplicaciones.