Le chiavi reCAPTCHA (note anche come chiavi) ti consentono di proteggere i tuoi endpoint verificando le interazioni degli utenti sulle tue pagine web e applicazioni mobile.
Per scegliere il tipo di chiave reCAPTCHA appropriato, devi comprendere i tipi di chiavi supportati per ogni piattaforma e le loro differenze.
Tipi di chiavi reCAPTCHA
La seguente tabella elenca le chiavi reCAPTCHA supportate per ogni piattaforma:
| Piattaforma | Descrizione | Chiavi supportate | Tipo di verifica |
|---|---|---|---|
| web | Per l'integrazione nelle pagine web. | Chiavi basate sul punteggio | SCORE |
| Chiavi delle caselle di controllo | CHECKBOX |
||
| Chiavi di verifica basate su policy | POLICY_BASED_CHALLENGE |
||
| cellulare | Per l'integrazione con le app per Android e iOS. | Chiavi reCAPTCHA per Android | SCORE |
| Chiavi reCAPTCHA per iOS | SCORE |
||
| WAF | Per pagine web e API pubblicate tramite server WAF o Edge Computing. | chiavi per token di azione | SCORE e CHECKBOX |
| chiavi per token di sessione | SCORE |
||
| chiavi della pagina di verifica | INVISIBLE |
||
| API | Per l'integrazione con API o client come i dispositivi IoT che non supportano JavaScript reCAPTCHA o gli SDK per mobile. | tasti Express | SCORE |
Scegliere un tipo di chiave reCAPTCHA per il web
Per verificare le interazioni utente sui siti web, reCAPTCHA fornisce chiavi basate sul punteggio, che non attivano i test CAPTCHA, chiavi delle caselle di controllo, che attivano test CAPTCHA non deterministici, e chiavi di verifica basate su criteri, che attivano test CAPTCHA deterministici.
Tutti i tipi di chiave restituiscono un punteggio per ogni richiesta, in base alle interazioni degli utenti con il tuo sito. Questo punteggio ti consente di comprendere il livello di rischio dell'interazione e ti aiuta a intraprendere le azioni appropriate per il tuo sito.
La seguente tabella riassume le differenze tra le chiavi basate sul punteggio, le chiavi con casella di controllo e le chiavi di verifica basate su criteri:
| Categoria di confronto | Chiave basata sul punteggio (consigliata) | Chiave casella di controllo | Chiave di verifica basata su policy |
|---|---|---|---|
| Descrizione | Le chiavi basate sul punteggio ti consentono di verificare se un'interazione è legittima senza alcuna interazione dell'utente. | Le chiavi con casella di controllo utilizzano una verifica tramite casella di controllo che richiede l'interazione dell'utente per verificare che non sia un robot. Inoltre, puoi utilizzare le chiavi delle caselle di controllo per proteggere azioni specifiche con verifiche CAPTCHA. |
Le chiavi di verifica basate su policy attivano le verifiche CAPTCHA in base alla soglia di punteggio configurata. Puoi utilizzare le chiavi di verifica basate su criteri per proteggere azioni specifiche utilizzando le verifiche CAPTCHA. |
| Come funziona | Con le chiavi basate sul punteggio, l'API reCAPTCHA Enterprise restituisce un punteggio, che puoi utilizzare per intraprendere azioni nel contesto del tuo sito. Alcuni esempi di azioni che potresti intraprendere includono la richiesta di fattori di autenticazione aggiuntivi, l'invio di un post alla moderazione o la limitazione dei bot che potrebbero eseguire lo scraping dei contenuti. |
Una chiave della casella di controllo visualizza una casella di controllo Non sono un robot su cui un utente deve fare clic per dimostrare di non essere un robot. Questa chiave della casella di controllo potrebbe o meno richiedere loro di superare i test CAPTCHA. In entrambi i casi, l'API reCAPTCHA Enterprise restituisce un punteggio. I test CAPTCHA richiedono a un utente di selezionare determinati tipi di oggetti, come segnali stradali, da una raccolta di immagini. La seguente GIF animata è un esempio di chiave della casella di controllo: L'immagine seguente mostra un esempio di test CAPTCHA: 
Prima di utilizzare i test CAPTCHA, devi comprendere gli avvertimenti relativi ai test CAPTCHA. |
Con le chiavi di verifica basate su policy, le verifiche CAPTCHA vengono attivate se il punteggio iniziale calcolato da reCAPTCHA è inferiore alla soglia di punteggio configurata. Le chiavi di verifica basate su policy differiscono dalle chiavi della casella di controllo perché possono attivare in modo deterministico le verifiche CAPTCHA. I test CAPTCHA richiedono a un utente di selezionare determinati tipi di oggetti, come i segnali stradali, da una raccolta di immagini. L'immagine seguente mostra un esempio di test CAPTCHA:
Prima di utilizzare i test CAPTCHA, devi comprendere gli avvertimenti relativi ai test CAPTCHA. |
| Piattaforme supportate | Siti web e piattaforme mobile. | Solo siti web. | Solo siti web. |
| Casi d'uso |
Le chiavi basate sul punteggio sono adatte ai seguenti casi d'uso:
|
I tasti di controllo sono adatti a moduli, accessi e registrazioni su pagine web. Sebbene possa causare ulteriori difficoltà per gli utenti, un passaggio aggiuntivo come il test CAPTCHA aiuta a scoraggiare gli autori di attacchi poco sofisticati. | Le chiavi di verifica basate su policy sono adatte a moduli, accessi e registrazioni nelle pagine web. Sebbene possa causare ulteriori difficoltà per gli utenti, un passaggio aggiuntivo come il test CAPTCHA aiuta a scoraggiare gli autori di attacchi poco sofisticati. |
Avvertenze relative ai test CAPTCHA
Se vuoi utilizzare le chiavi della casella di controllo con le verifiche CAPTCHA per proteggerti da attacchi automatici, tieni presente i seguenti avvisi:
- I CAPTCHA richiedono l'interazione dell'utente, il che aumenta gli attriti e potrebbe ridurre i tassi di conversione.
- Grazie ai progressi nella visione artificiale e nell'intelligenza artificiale, i CAPTCHA stanno diventando meno utili per distinguere gli esseri umani dai bot.
- Anche i CAPTCHA sono minacciati da aggressori pagati che possono risolvere tutti i tipi di sfide.
- I CAPTCHA non sono accessibili a tutti gli utenti, quindi potrebbero non essere adatti se il tuo sito web ha requisiti di accessibilità.
Scegliere i tipi di chiavi reCAPTCHA per WAF
Le integrazioni di reCAPTCHA per Google Cloud Armor supportano token di azione, token di sessione e la pagina di verifica.
Puoi utilizzare una o più funzionalità di reCAPTCHA per Google Cloud Armor in una singola applicazione. Ad esempio, puoi scegliere di applicare un token di sessione a tutte le pagine e, in base al punteggio del token di sessione, puoi reindirizzare le richieste sospette alla pagina di verifica reCAPTCHA. Inoltre, puoi utilizzare un token azione per azioni di alto profilo, ad esempio il pagamento. Per saperne di più, consulta gli esempi.
La seguente tabella mostra un breve confronto delle funzionalità di reCAPTCHA per Google Cloud Armor disponibili:
| Categoria di confronto | Token di azione reCAPTCHA | Token di sessione reCAPTCHA | Pagina di verifica reCAPTCHA |
|---|---|---|---|
| Caso d'uso | Utilizzalo per proteggere le azioni degli utenti, ad esempio l'accesso o i commenti ai post. | Utilizza per proteggere l'intera sessione utente sul dominio del sito. | Utilizza questa opzione quando sospetti attività di spam indirizzate al tuo sito e
devi filtrare i bot.
Questo metodo interrompe l'attività di un utente perché deve verificare un test CAPTCHA. |
| Piattaforme supportate | Siti web e applicazioni mobile | Siti web | Siti web |
| Sforzo di integrazione del client | Medio
Integrazione manuale lato client. |
Medio
Installa JavaScript reCAPTCHA manualmente o tramite inserimento nel WAF. |
Bassa
Interstiziale attivato dai criteri di sicurezza. |
| Precisione del rilevamento | Massima
Sono disponibili segnali specifici per client, server e azioni. |
Alta
Sono disponibili segnali specifici per client e server. |
Medio
Sono disponibili segnali specifici per client e server. Gli indicatori lato client sono disponibili solo in una pagina interstitial. |
| Versione di reCAPTCHA supportata | Chiavi reCAPTCHA basate sul punteggio e con casella di controllo | Chiavi reCAPTCHA basate sul punteggio | Chiavi basate su verifica reCAPTCHA incorporate in una pagina interstitial |
Scegliere le chiavi reCAPTCHA Express per le API
Utilizza reCAPTCHA Express quando il tuo ambiente non supporta un'integrazione client reCAPTCHA come l'API JavaScript o gli SDK per mobile. reCAPTCHA Express è adatto per API, siti web, applicazioni mobile e dispositivi IoT come TV e console di gioco, ma può essere utilizzato anche per proteggere siti web o applicazioni mobile quando un'integrazione lato client non è fattibile.
Poiché reCAPTCHA express è un'integrazione solo lato server, non raccoglie indicatori lato client. In genere, ciò comporta un'accuratezza di rilevamento inferiore rispetto alle integrazioni che includono un componente lato client.
Passaggi successivi
- Crea chiavi reCAPTCHA per i siti web.
- Crea chiavi reCAPTCHA per applicazioni mobile.
- Scopri di più sulle chiavi reCAPTCHA per WAF.
- Scopri di più sulle chiavi reCAPTCHA Express per le API.