Ce document vous aide à comprendre les fonctionnalités de reCAPTCHA pour WAF et à déterminer celle qui correspond le mieux à votre cas d'utilisation.
reCAPTCHA pour WAF propose les fonctionnalités suivantes que vous pouvez utiliser pour l'intégration à un fournisseur de services de pare-feu d'application Web (WAF) :
Aperçu des fonctionnalités
Les intégrations reCAPTCHA pour WAF sont compatibles avec les jetons d'action, les jetons de session, la page de test et reCAPTCHA Express.
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA pour WAF dans une seule application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez les exemples.
Le tableau suivant présente une brève comparaison des fonctionnalités reCAPTCHA pour WAF disponibles :
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | reCAPTCHA Express |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez-le pour protéger les actions utilisateur, telles que se connecter ou commenter des posts. | Utilisez-le pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez-le lorsque vous suspectez des activités de spam dirigées vers votre site et que vous devez exclure les robots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez reCAPTCHA Express lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ou des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web | Sites Web | Toutes les requêtes HTTP. y compris les API, les sites Web, les applications mobiles et les appareils IoT tels que les téléviseurs et les consoles de jeu. |
| Effort d'intégration du client | Moyen
Intégration manuelle côté client. |
Moyen
Installez le code JavaScript reCAPTCHA manuellement ou par injection sur le WAF. |
Faible
Interstitial déclenché par les règles de sécurité. |
Faible
Aucune intégration client. |
| Précision de la détection | Le plus élevé
Des signaux spécifiques au client, au serveur et à l'action sont disponibles. |
Élevé
Des signaux spécifiques au client et au serveur sont disponibles. |
Moyen
Des signaux spécifiques au client et au serveur sont disponibles. Les signaux client ne sont disponibles que sur une page interstitielle. |
Faible
Seuls les signaux côté serveur sont disponibles. |
| Version de reCAPTCHA compatible | Clés reCAPTCHA basées sur des scores et cases à cocher | Clés reCAPTCHA basées sur des scores | Clés basées sur le test reCAPTCHA intégrées à une page interstitielle | Clés reCAPTCHA Express |
Jetons d'action reCAPTCHA
Vous pouvez utiliser des jetons d'action reCAPTCHA pour protéger les interactions importantes avec les utilisateurs, telles que le règlement sur les pages Web et dans les applications mobiles.
Le workflow des jetons d'action reCAPTCHA comprend les étapes suivantes :
- Lorsqu'un utilisateur final déclenche une action protégée par reCAPTCHA, la page Web ou l'application mobile envoie des signaux collectés dans le navigateur à reCAPTCHA pour analyse.
- reCAPTCHA envoie un jeton d'action à la page Web ou à l'application mobile.
- Vous devez associer ce jeton d'action à l'en-tête de la requête que vous souhaitez protéger.
- Lorsque l'utilisateur final demande l'accès avec le jeton d'action, le plug-in WAF décode et valide les attributs de jeton d'action au lieu de votre application backend.
- Le plug-in WAF applique des actions en fonction des règles de stratégie de sécurité ou des règles de stratégie de pare-feu que vous avez configurées, selon le cas.
Le schéma suivant illustre le workflow des jetons d'action reCAPTCHA pour les sites Web :
Google Cloud Armor
Fournisseur de services WAF tiers
Le schéma suivant illustre le workflow des jetons d'action reCAPTCHA pour les applications mobiles :
Jetons de session reCAPTCHA
Vous pouvez utiliser les jetons de session reCAPTCHA si vous souhaitez protéger la session utilisateur entière sur le domaine du site. Un jeton de session vous permet de réutiliser une évaluation reCAPTCHA existante pour une période spécifiée, de sorte qu'aucune autre évaluation ne soit nécessaire pour un utilisateur particulier, ce qui réduit la friction pour l'utilisateur et le nombre total d'appels reCAPTCHA requis.
Pour permettre à reCAPTCHA d'apprendre le modèle de navigation de vos utilisateurs finaux, nous vous recommandons d'utiliser un jeton de session reCAPTCHA sur toutes les pages Web de votre site.
Le workflow des jetons de session reCAPTCHA comprend les étapes suivantes :
- Le navigateur charge le code JavaScript reCAPTCHA à partir de reCAPTCHA.
- Le code JavaScript reCAPTCHA définit un jeton de session en tant que cookie sur le navigateur de l'utilisateur final après l'évaluation.
- Le navigateur de l'utilisateur final stocke le cookie et le code JavaScript reCAPTCHA l'actualise toutes les 30 minutes tant que le code JavaScript reCAPTCHA reste actif.
- Lorsque l'utilisateur demande l'accès avec le cookie, le plug-in WAF valide ce cookie et applique des actions en fonction des règles de stratégie de sécurité ou des règles de stratégie de pare-feu.
Le schéma suivant illustre le workflow des jetons de session reCAPTCHA :
Google Cloud Armor
Plug-in WAF tiers
Page de test reCAPTCHA
Vous pouvez utiliser la fonctionnalité de page de test reCAPTCHA pour rediriger les requêtes entrantes vers reCAPTCHA afin de déterminer si chacune d'elles est potentiellement frauduleuse ou légitime.
Cette application d'une redirection et d'un test CAPTCHA éventuel interrompt l'activité de l'utilisateur. Nous vous recommandons de l'utiliser pour exclure les robots lorsque vous suspectez des activités de spam dirigées vers votre site.
Lorsqu'un utilisateur final visite votre site pour la première fois, les événements suivants se produisent :
- Au niveau de la couche WAF, la requête de l'utilisateur est redirigée vers la page de test reCAPTCHA.
- reCAPTCHA répond avec une page HTML intégrée au code JavaScript reCAPTCHA.
- Lorsque la page de test est affichée, reCAPTCHA évalue l'interaction de l'utilisateur. Si nécessaire, reCAPTCHA envoie un test CAPTCHA à l'utilisateur.
Selon le résultat de l'évaluation, reCAPTCHA effectue les opérations suivantes :
- Si l'interaction de l'utilisateur réussit l'évaluation, reCAPTCHA émet un cookie d'exemption. Le navigateur joint ce cookie d'exception aux requêtes ultérieures de l'utilisateur au même site jusqu'à l'expiration du cookie. Par défaut, le cookie d'exemption expire au bout de trois heures.
- Si l'interaction de l'utilisateur échoue à l'évaluation, reCAPTCHA n'émet pas de cookie d'exemption.
reCAPTCHA recharge la page Web avec le cookie d'exemption si l'utilisateur accède à la page Web via un appel GET/HEAD. Si l'utilisateur accède à la page Web via un appel POST/PUT, il doit cliquer sur le lien d'actualisation de la page.
Le plug-in WAF exclut de la redirection les requêtes contenant un cookie d'exemption valide, puis accorde l'accès à votre site.
Le schéma suivant illustre le workflow de la page de test reCAPTCHA :
Google Cloud Armor
Fournisseur de services WAF tiers
reCAPTCHA Express pour WAF
Vous pouvez utiliser reCAPTCHA Express pour protéger vos applications dans un environnement qui n'est pas compatible avec l'exécution de reCAPTCHA JavaScript ni des SDK pour mobile intégrés (par exemple, les appareils IoT et les décodeurs). Vous pouvez intégrer reCAPTCHA Express à un fournisseur de services WAF reCAPTCHA ou dans un environnement autonome sur un serveur d'application.
reCAPTCHA Express n'utilise que des signaux de backend pour générer un score de risque reCAPTCHA, ce qui entraîne une précision de détection inférieure à celle des intégrations qui impliquent un composant côté client. Vous pouvez utiliser ce score pour évaluer n'importe quelle requête HTTP.
Le workflow reCAPTCHA Express comprend les étapes suivantes :
- Lorsqu'un utilisateur demande l'accès à une page Web, le plug-in WAF envoie une requête pour créer une évaluation.
- reCAPTCHA évalue l'interaction de l'utilisateur et renvoie un score de risque.
- En fonction du score de risque, le plug-in reCAPTCHA WAF ou le serveur d'application autorise ou bloque l'accès.
Le schéma suivant illustre le workflow reCAPTCHA Express :
Étapes suivantes
- En savoir plus sur les attributs de jeton pour Google Cloud Armor
- Intégrez reCAPTCHA pour WAF à Google Cloud Armor sur les sites Web.
- Intégrez reCAPTCHA pour WAF à Google Cloud Armor sur les applications mobiles.
- En savoir plus sur les attributs de jeton pour Fastly
- Intégrez reCAPTCHA pour WAF à Fastly.
- Configurez reCAPTCHA Express sur les serveurs d'application.