Questo documento ti aiuta a comprendere le funzionalità di reCAPTCHA per WAF e a determinare quale funzionalità è più adatta al tuo caso d'uso.
reCAPTCHA per WAF offre le seguenti funzionalità che puoi utilizzare per l'integrazione con un provider di servizi web application firewall (WAF):
- Token di azione reCAPTCHA
- reCAPTCHA session-tokens
- Pagina della verifica reCAPTCHA
- reCAPTCHA express
Panoramica delle funzioni
Le integrazioni di reCAPTCHA per WAF supportano token di azione, token di sessione, pagina di verifica e reCAPTCHA Express
Puoi utilizzare una o più funzionalità di reCAPTCHA per WAF in una singola applicazione. Ad esempio, puoi scegliere di applicare un token di sessione a tutte le pagine e, in base al punteggio del token di sessione, puoi reindirizzare le richieste sospette alla pagina di verifica reCAPTCHA. Inoltre, puoi utilizzare un token azione per azioni di alto profilo, ad esempio il pagamento. Per saperne di più, consulta gli esempi.
La seguente tabella mostra un breve confronto delle funzionalità di reCAPTCHA per WAF disponibili:
| Categoria di confronto | Token di azione reCAPTCHA | reCAPTCHA session-tokens | Pagina del test reCAPTCHA | reCAPTCHA express |
|---|---|---|---|---|
| Caso d'uso | Utilizzalo per proteggere le azioni degli utenti, ad esempio l'accesso o i commenti ai post. | Utilizza per proteggere l'intera sessione utente sul dominio del sito. | Utilizza questa opzione quando sospetti attività di spam indirizzate al tuo sito e devi
escludere i bot.
Questo metodo interrompe l'attività di un utente perché deve verificare un test CAPTCHA. |
Utilizza reCAPTCHA Express quando il tuo ambiente non supporta l'integrazione di reCAPTCHA JavaScript o degli SDK mobile. |
| Piattaforme supportate | Siti web e applicazioni mobile | Siti web | Siti web | Tutte le richieste HTTP. Inclusi: API, siti web, applicazioni mobile e dispositivi IoT come TV e console per videogiochi |
| Sforzo di integrazione del client | Medio
Integrazione manuale lato client. |
Medio
Installa JavaScript reCAPTCHA manualmente o tramite l'inserimento nel WAF. |
Bassa
Interstiziale attivato dai criteri di sicurezza. |
Bassa
Nessuna integrazione client. |
| Precisione del rilevamento | Massima
Sono disponibili segnali specifici per client, server e azioni. |
Alta
Sono disponibili segnali specifici per client e server. |
Medio
Sono disponibili segnali specifici per client e server. Gli indicatori lato client sono disponibili solo in una pagina interstitial. |
Bassa
Sono disponibili solo indicatori lato server. |
| Versione reCAPTCHA supportata | Chiavi reCAPTCHA basate sul punteggio e con casella di controllo | Chiavi reCAPTCHA basate sul punteggio | Chiavi basate su sfide reCAPTCHA incorporate in una pagina interstitial | Chiavi reCAPTCHA Express |
Token di azione reCAPTCHA
Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti degli utenti, come il pagamento nelle pagine web e nelle applicazioni mobile.
Il flusso di lavoro dei token di azione reCAPTCHA prevede i seguenti passaggi:
- Quando un utente finale attiva un'azione protetta da reCAPTCHA, la pagina web o l'applicazione mobile invia segnali che vengono raccolti nel browser e inviati a reCAPTCHA per l'analisi.
- reCAPTCHA invia un token di azione alla pagina web o all'applicazione mobile.
- Questo token di azione viene allegato all'intestazione della richiesta che vuoi proteggere.
- Quando l'utente finale richiede l'accesso con il token di azione, il plug-in WAF decodifica e convalida gli attributi del token di azione anziché l'applicazione di backend.
- Il plug-in WAF applica le azioni in base alle regole della policy di sicurezza o alle regole della policy del firewall configurate, a seconda di quale sia applicabile.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per i siti web:
Google Cloud Armor
Fornitore di servizi WAF di terze parti
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per le applicazioni mobile:
reCAPTCHA session-tokens
Puoi utilizzare i token di sessione reCAPTCHA quando vuoi proteggere l'intera sessione utente sul dominio del sito. Un token di sessione ti consente di riutilizzare una test reCAPTCHA esistente per un periodo di tempo specificato, in modo che non siano necessarie ulteriori valutazioni per un determinato utente, riducendo l'attrito per l'utente e il numero totale di chiamate reCAPTCHA richieste.
Per consentire a reCAPTCHA di conoscere il pattern di navigazione degli utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.
Il flusso di lavoro dei token di sessione reCAPTCHA prevede i seguenti passaggi:
- Il browser carica il file JavaScript di reCAPTCHA da reCAPTCHA.
- Dopo la valutazione, il codice JavaScript reCAPTCHA imposta un token di sessione come cookie nel browser dell'utente finale.
- Il browser dell'utente finale memorizza il cookie e reCAPTCHA JavaScript aggiorna il cookie ogni 30 minuti finché reCAPTCHA JavaScript rimane attivo.
- Quando l'utente richiede l'accesso con il cookie, il plug-in WAF lo convalida e applica le azioni in base alle regole dei criteri di sicurezza o del firewall.
Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:
Google Cloud Armor
Plug-in WAF di terze parti
Pagina del test reCAPTCHA
Puoi utilizzare la funzionalità della pagina di verifica reCAPTCHA per reindirizzare le richieste in entrata a reCAPTCHA per determinare se ogni richiesta è potenzialmente fraudolenta o legittima.
Questa applicazione di un reindirizzamento e di un possibile test CAPTCHA interrompe l'attività di un utente. Ti consigliamo di utilizzarlo per escludere i bot quando sospetti attività di spam indirizzate al tuo sito.
Quando un utente finale (utente) visita il tuo sito per la prima volta, si verificano i seguenti eventi:
- A livello WAF, la richiesta dell'utente viene reindirizzata alla pagina della sfida reCAPTCHA.
- reCAPTCHA risponde con una pagina HTML incorporata con il JavaScript reCAPTCHA.
- Quando viene eseguito il rendering della pagina della richiesta di verifica, reCAPTCHA valuta l'interazione dell'utente. Se necessario, reCAPTCHA propone all'utente un test CAPTCHA.
A seconda del risultato del test, reCAPTCHA esegue le seguenti operazioni:
- Se l'interazione utente supera il test, reCAPTCHA emette un cookie di esenzione. Il browser allega questo cookie di esenzione alle richieste successive dell'utente allo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo tre ore.
- Se l'interazione dell'utente non supera il test, reCAPTCHA non rilascia un cookie di esenzione.
reCAPTCHA ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web utilizzando una chiamata POST/PUT, deve fare clic sul link di ricarica nella pagina.
Il plug-in WAF esenta le richieste che hanno un cookie di esenzione valido dal reindirizzamento e concede l'accesso al tuo sito.
Il seguente diagramma di sequenza mostra il flusso di lavoro della pagina del test reCAPTCHA:
Google Cloud Armor
Fornitore di servizi WAF di terze parti
reCAPTCHA Express per WAF
Puoi utilizzare reCAPTCHA Express per proteggere le tue applicazioni in un ambiente che non supporta l'esecuzione di JavaScript reCAPTCHA o SDK mobile integrati, ad esempio dispositivi IoT e set-top box. Puoi integrare reCAPTCHA Express con un provider di servizi WAF reCAPTCHA o in un ambiente autonomo su un server delle applicazioni.
reCAPTCHA Express utilizza solo i segnali di backend per generare un punteggio di rischio reCAPTCHA, il che comporta una precisione di rilevamento inferiore rispetto alle integrazioni che coinvolgono un componente lato client. Puoi utilizzare questo punteggio per valutare qualsiasi richiesta HTTP.
Il flusso di lavoro reCAPTCHA express è costituito dai seguenti passaggi:
- Quando un utente richiede l'accesso a una pagina web, il plug-in WAF invia una richiesta per creare una valutazione.
- reCAPTCHA valuta l'interazione dell'utente e restituisce un punteggio di rischio.
- In base al punteggio di rischio, il plug-in WAF reCAPTCHA o il server delle applicazioni consente o blocca l'accesso.
Il seguente diagramma di sequenza mostra il flusso di lavoro di reCAPTCHA Express:
Passaggi successivi
- Scopri di più sugli attributi del token per Google Cloud Armor.
- Integra reCAPTCHA per WAF con Google Cloud Armor sui siti web.
- Integra reCAPTCHA per WAF con Google Cloud Armor sulle applicazioni mobile.
- Scopri di più sugli attributi del token per Fastly.
- Integra reCAPTCHA per WAF con Fastly.
- Configura reCAPTCHA express sui server delle applicazioni.