Recursos para integração com provedores de serviços WAF

Este documento ajuda você a entender os recursos do reCAPTCHA para WAF e determinar qual deles corresponde melhor ao seu caso de uso.

O reCAPTCHA para WAF oferece os seguintes recursos que podem ser usados para integração com provedores de serviços de firewall de aplicativos da Web (WAF):

• Tokens de ação do reCAPTCHA
• Tokens de sessão do reCAPTCHA
• página de desafio do reCAPTCHA
• Proteção expressa reCAPTCHA WAF

Visão geral dos recursos

A tabela a seguir mostra uma breve comparação entre tokens de ação e tokens de sessão reCAPTCHA, página de desafio reCAPTCHA e proteção expressa do reCAPTCHA WAF:

Categoria de comparação	Tokens de ação reCAPTCHA	Tokens de sessão reCAPTCHA	Página de teste do reCAPTCHA	Proteção expressa do reCAPTCHA WAF
Caso de uso	Use tokens de ação reCAPTCHA para proteger as ações do usuário, como login ou postagens de comentários.	Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site.	Use a página de desafio reCAPTCHA quando suspeitar de atividade de spam direcionada ao seu site e precisar filtrar os bots. Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA.	Use a proteção expressa do reCAPTCHA WAF quando seu ambiente não for compatível com a integração do JavaScript reCAPTCHA ou dos SDKs para dispositivos móveis.
Plataformas com suporte	Sites e aplicativos para dispositivos móveis	Sites	Sites	APIs, sites, aplicativos móveis e dispositivos de IoT, como TVs e consoles de jogos
Esforço de integração	Meio A integração requer o seguinte: Instale o JavaScript reCAPTCHA nas páginas individuais do site ou o SDK móvel reCAPTCHA no seu aplicativo para dispositivos móveis. Anexe o token de ação ao cabeçalho da solicitação individual. Configurar as regras da política de segurança do Google Cloud Armor ou as políticas de firewall reCAPTCHA para provedores de serviços de WAF terceirizados.	Meio A integração requer o seguinte: Instale o reCAPTCHA JavaScript nas páginas individuais do seu site. Configure as regras da política de segurança do Google Cloud Armor ou as políticas de firewall reCAPTCHA para provedores de serviços de WAF terceirizados.	Baixa A integração exige que você configure regras de política de segurança para o Google Cloud Armor ou políticas de reCAPTCHAfirewall para provedores de serviços WAF de terceiros.	Baixa A integração exige que você configure a proteção expressa do reCAPTCHA WAF com um provedor de serviços WAF ou faça uma solicitação do servidor do aplicativo ao reCAPTCHA.
Precisão da detecção	Mais alta Um token de ação protege as ações individuais do usuário.	Alta Um token de sessão protege toda a sessão do usuário no domínio do site.	Meio O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa.	Baixa Os indicadores do lado do cliente não estão disponíveis.
Versão compatível do reCAPTCHA	chaves de caixa de seleção e com base em pontuação do reCAPTCHA	chaves baseadas em pontuação do reCAPTCHA	A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração.	chaves baseadas em pontuação do reCAPTCHA

É possível usar um ou mais recursos do reCAPTCHA para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Confira mais exemplos.

Tokens de ação reCAPTCHA

É possível usar tokens de ação reCAPTCHA para proteger interações importantes do usuário, como finalização de compras em páginas da Web e em aplicativos para dispositivos móveis.

O fluxo de trabalho de tokens de ação do reCAPTCHA consiste nas seguintes etapas:

1. Quando um usuário final aciona uma ação protegida pelo reCAPTCHA, a página da Web ou o app para dispositivos móveis envia os indicadores coletados no navegador ao reCAPTCHA para análise.
2. O reCAPTCHA envia um token de ação para a página da Web ou o aplicativo para dispositivos móveis.
3. Anexe esse token de ação ao cabeçalho da solicitação que você quer proteger.
4. Quando o usuário final solicita acesso com o token de ação, o provedor de serviços WAF decodifica e valida os atributos do token de ação em vez do aplicativo de back-end.
5. O provedor de serviços WAF aplica ações com base nas regras da política de segurança configuradas ou nas regras de política de firewall, o que for aplicável.

O diagrama de sequência a seguir mostra o fluxo de trabalho de tokens de ação reCAPTCHA para sites:

O diagrama de sequência a seguir mostra o fluxo de trabalho de tokens de ação do reCAPTCHA para aplicativos para dispositivos móveis:

Tokens de sessão reCAPTCHA

Use tokens de sessão reCAPTCHA quando quiser proteger toda a sessão do usuário no domínio do site. Com um token de sessão, é possível reutilizar uma teste reCAPTCHA que já existe por um período especificado para que nenhuma outra avaliação seja necessária para um usuário específico, reduzindo o atrito do usuário e o total de chamadas reCAPTCHA necessárias.

Para ativar o reCAPTCHA para aprender sobre o padrão de navegação dos usuários finais, recomendamos que você use um token de sessão reCAPTCHA em todas as páginas da Web do seu site.

O fluxo de trabalho de tokens de sessão reCAPTCHA consiste nas seguintes etapas:

1. O navegador carrega o JavaScript reCAPTCHA do reCAPTCHA.
2. O JavaScript reCAPTCHA define um token de sessão como um cookie no navegador do usuário final após a avaliação.
3. O navegador do usuário final armazena o cookie, e o reCAPTCHA JavaScript atualiza o cookie a cada 30 minutos, desde que o reCAPTCHA JavaScript esteja ativo.
4. Quando o usuário solicita acesso com o cookie, o provedor de serviços WAF valida esse cookie e aplica ações com base nas regras de política de segurança ou de firewall.

O diagrama de sequência a seguir mostra o fluxo de trabalho de tokens de sessão reCAPTCHA:

Página de teste do reCAPTCHA

É possível usar o recurso da página de desafio do reCAPTCHA para redirecionar solicitações recebidas ao reCAPTCHA e determinar se cada solicitação é potencialmente fraudulenta ou legítima.

Essa aplicação de um redirecionamento e um possível teste de CAPTCHA interrompem a atividade do usuário. Recomendamos usar isso para filtrar bots quando suspeitar de atividade de spam direcionada ao site.

Quando um usuário final (usuário) acessa seu site pela primeira vez, os seguintes eventos ocorrem:

1. Na camada WAF, a solicitação do usuário é redirecionada para a página do desafio reCAPTCHA.
2. O reCAPTCHA responde com uma página HTML incorporada com o reCAPTCHA JavaScript.
3. Quando a página de desafio é renderizada, o reCAPTCHA avalia a interação do usuário. Se necessário, o reCAPTCHA mostra um desafio CAPTCHA ao usuário.

4. Dependendo do resultado da avaliação, o reCAPTCHA faz o seguinte:

   1. Se a interação do usuário for aprovada na avaliação, o reCAPTCHA emite um cookie de isenção. O navegador anexa esse cookie de isenção às solicitações subsequentes do usuário no site até que o cookie expire. Por padrão, o cookie de isenção expira em três horas.
   2. Se a interação do usuário não for aprovada na avaliação, o reCAPTCHA não vai emitir um cookie de isenção.

5. O reCAPTCHA recarregará a página da Web com o cookie de isenção se o usuário acessar a página usando uma chamada GET/HEAD. Se o usuário acessar a página da Web usando uma chamada POST/PUT, o usuário precisará clicar no link de atualização da página.

6. O provedor de serviços WAF isenta solicitações que têm um cookie de isenção válido do redirecionamento novamente e concede acesso ao seu site.

O diagrama de sequência a seguir mostra o fluxo de trabalho da página do desafio reCAPTCHA:

Proteção expressa do reCAPTCHA WAF

Use a proteção expressa do reCAPTCHA WAF (reCAPTCHA WAF expresso) para proteger seus aplicativos em um ambiente que não é compatível com a execução de reCAPTCHA JavaScript ou SDKs integrados para dispositivos móveis, como dispositivos IoT e conversores. É possível configurar o reCAPTCHA WAF expresso na camada WAF com um provedor de serviços WAF ou em um ambiente autônomo em um servidor de aplicativos. O reCAPTCHA WAF expresso usa apenas sinais de back-end para gerar uma pontuação de risco reCAPTCHA.

O fluxo de trabalho do reCAPTCHA WAF expresso consiste nas seguintes etapas:

1. Quando um usuário solicita acesso a uma página da Web, o provedor de serviços WAF ou o servidor do aplicativo cria uma solicitação de avaliação para o reCAPTCHA.
2. O reCAPTCHA avalia a interação do usuário e envia uma pontuação de risco.
3. Com base na pontuação de risco, o provedor de serviços WAF ou o servidor do aplicativo permite ou bloqueia o acesso.

O diagrama de sequência a seguir mostra o fluxo de trabalho expresso do reCAPTCHA WAF:

A seguir

• Saiba mais sobre os atributos de token para o Google Cloud Armor.
• Integrar o reCAPTCHA para WAF ao Google Cloud Armor em sites.
• Integrar o reCAPTCHA para WAF ao Google Cloud Armor em aplicativos para dispositivos móveis.
• Saiba mais sobre os atributos de token do Fastly.
• Integrar o reCAPTCHA para WAF com o Fastly
• Configure a proteção expressa do reCAPTCHA WAF em um servidor de aplicativos.