Bewertungen für Websites interpretieren

Auf dieser Seite wird erläutert, wie Sie eine Punktzahl interpretieren, um das Risiko von Nutzerinteraktionen zu verstehen und geeignete Maßnahmen für Ihre Website zu ergreifen.

reCAPTCHA gibt für jede Anfrage eine Punktzahl auf Basis der Interaktionen mit Ihrer Website zurück, unabhängig vom Schlüsseltyp. Nachdem Sie die Punktzahl von reCAPTCHA erhalten haben, müssen Sie sie interpretieren und geeignete Maßnahmen für Ihre Website ergreifen.

Hinweis

Erstellen Sie eine Bewertung für Ihre Website.

Bewertung interpretieren

Nachdem Ihr Back-End das reCAPTCHA-Antworttoken eines Nutzers an reCAPTCHA gesendet hat, erhalten Sie eine Bewertung als JSON-Antwort, wie im folgenden Beispiel gezeigt.

Berücksichtigen Sie bei der Interpretation einer Bewertung folgende Parameter:

  • valid: Gibt an, ob das bereitgestellte Antworttoken des Nutzers gültig ist. Wenn valid = false ist, wird der Grund in invalidReason angegeben. valid = false kann auch darauf hinweisen, dass ein Nutzer eine Challenge nicht gelöst hat oder dass es eine siteKey-Nichtübereinstimmung gibt.
  • invalidReason: Der Grund, der der Antwort zugeordnet ist, wenn valid = false ist.
  • action: Eine Nutzerinteraktion, die die reCAPTCHA-Überprüfung ausgelöst hat.
  • expectedAction: Die erwartete Aktion des Nutzers, den Sie beim Erstellen der Bewertung angegeben haben.
  • score: Der Grad des Risikos, das die Nutzerinteraktion darstellt. Eine höhere Punktzahl bedeutet ein geringeres Risiko.
  • reasons: Zusätzliche Informationen darüber, wie reCAPTCHA die Nutzerinteraktion interpretiert hat.
  • challenge: Gibt die Antwort auf die Challenge für richtlinienbasierte Challenge-Schlüssel an. Mögliche Werte: PASS, FAIL oder NOCAPTCHA.

  • extended_verdict_reasons: Erweiterte Gründe, die zum Ergebnis der Risikoanalyse beigetragen haben.

    Ursachencodes sind verfügbar, nachdem Sie eine automatische Sicherheitsüberprüfung ausgelöst haben, indem Sie Ihrem Projekt ein Rechnungskonto hinzufügen. Wenn Sie Zugriff auf Ursachencodes anfordern möchten, fügen Sie Ihrem Projekt ein Rechnungskonto hinzu.

    Bewertungen aus Projekten mit einem Enterprise-Abo enthalten auch erweiterte Ursachencodes. Wenden Sie sich an Ihren Kundenbetreuer oder Google Cloud Vertrieb, um die vollständige Liste der erweiterten Gründe und Informationen zu ihrer Interpretation zu erhalten.

    {
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"KEY_ID",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
 "riskAnalysis":{
   "reasons":[],
   "extended_verdict_reasons":[],
   "score":"SCORE"
   "challenge":"PASS"
 },
 "tokenProperties":{
   "action":"USER_INTERACTION",
   "createTime":"TIMESTAMP",
   "hostname":"HOSTNAME",
   "invalidReason":"(ENUM)",
   "valid":(BOOLEAN)
 }
}

Aktionen überprüfen

Die JSON-Antwort enthält den Parameter action, den Sie beim Aufrufen von execute() für eine Nutzerinteraktion angegeben haben, und den Parameter expectedAction, den Sie beim Erstellen der Bewertung angegeben haben.

Prüfen Sie, ob action mit expectedAction übereinstimmt. Beispiel: Eine login-Aktion sollte auf Ihrer Anmeldeseite zurückgegeben werden. Wenn es eine Nichtübereinstimmung gibt, bedeutet dies, dass ein Angreifer versucht, Aktionen zu fälschen. Sie können Aktionen gegen die Nutzerinteraktion ausführen, z. B. zusätzliche Bestätigungen hinzufügen oder die Interaktion blockieren, um betrügerische Aktivitäten zu verhindern.

Bewertungen interpretieren

Das Bewertungssystem von reCAPTCHA ist eine Erweiterung von früheren Versionen von reCAPTCHA, um eine höhere Genauigkeit bei Antworten zu ermöglichen. reCAPTCHA bietet 11 Grade für Punktzahlen mit Werten zwischen 0,0 und 1,0. Der Wert 1,0 gibt an, dass die Interaktion ein geringes Risiko darstellt und sehr wahrscheinlich legitim ist. 0,0 gibt jedoch an, dass die Interaktion ein hohes Risiko darstellt und betrügerisch sein kann.

Von den 11 Graden sind nur die folgenden vier Punktzahl-Stufen verfügbar, bevor Sie eine automatische Sicherheitsüberprüfung auslösen, indem Sie Ihrem Projekt ein Rechnungskonto hinzufügen: 0,1, 0,3, 0,7 und 0,9.

Wenn Sie Zugriff auf 11 Punktzahl-Stufen anfordern möchten, fügen Sie Ihrem Projekt ein Rechnungskonto hinzu.

Die Risikobewertung von reCAPTCHA SMS Defense funktioniert im Vergleich zur globalen reCAPTCHA-Bewertung umgekehrt. Eine Risikobewertung von 0,0 für reCAPTCHA SMS Defense zeigt ein geringes Risiko für SMS-Gebührenbetrug an, eine Risikobewertung von 1,0 ein hohes Risiko.

reCAPTCHA lernt durch die Überwachung des tatsächlichen Traffics auf Ihrer Website. Daher können Punktzahlen in einer Staging-Umgebung und innerhalb von 7 Tagen nach der Implementierung von den langfristigen Produktionspunktzahlen abweichen.

Wenn Sie Punktzahl-basierte Schlüssel installiert haben, können Sie reCAPTCHA zuerst ausführen, ohne Maßnahmen zu ergreifen, und dann anhand des Traffics Schwellenwerte festlegen.

Basierend auf der Punktzahl können Sie im Kontext Ihrer Website geeignete Maßnahmen ergreifen. Um Ihre Website besser zu schützen, sollten Sie die Aktion im Hintergrund ausführen, statt den Traffic zu blockieren.

In folgender Tabelle sind einige der Aktionen aufgeführt, die Sie ausführen können:

Anwendungsfall Aktion
Startseite Zeigen Sie eine zusammenhängende Ansicht Ihres Traffics auf der Admin-Konsole an, während Sie Scraper filtern.
login Bei niedrigen Punktzahlen ist eine MFA oder eine E-Mail-Bestätigung erforderlich, um Credential Stuffing-Angriffe zu verhindern.
social Begrenzen Sie unbeantwortete Freundschaftsanfragen von missbräuchlichen Nutzern und senden Sie riskante Kommentare zur Moderation.
E-Commerce Stellen Sie Ihren realen Umsatz vor Bots und identifizieren Sie riskante Transaktionen.

Ursachencodes

Ursachencodes sind verfügbar, nachdem Sie eine automatische Sicherheitsüberprüfung ausgelöst haben, indem Sie Ihrem Projekt ein Rechnungskonto hinzufügen. Wenn Sie Zugriff auf Ursachencodes anfordern möchten, fügen Sie Ihrem Projekt ein Rechnungskonto hinzu.

Einige Punktzahlen werden möglicherweise mit Ursachencodes zurückgegeben, die zusätzliche Informationen darüber enthalten, wie reCAPTCHA die Interaktionen interpretiert hat.

In folgender Tabelle sind die Ursachencodes und ihre Beschreibungen aufgeführt:

Ursachencode Beschreibung
AUTOMATION Die Interaktion entspricht dem Verhalten eines automatisierten Agents.
UNEXPECTED_ENVIRONMENT Das Ereignis stammte aus einer unzulässigen Umgebung.
TOO_MUCH_TRAFFIC Das Trafficvolumen von der Ereignisquelle ist höher als normal.
UNEXPECTED_USAGE_PATTERNS Die Interaktion mit Ihrer Website weicht erheblich von den erwarteten Mustern ab.
LOW_CONFIDENCE_SCORE Von dieser Website wurde zu wenig Traffic empfangen, um eine qualitative Risikoanalyse zu erstellen.

Antwort der Methode „siteverify“

Die Methode siteverify gibt ein JSON-Objekt mit den folgenden Feldern zurück, wenn sie zum Erstellen einer Bewertung verwendet wird:

{
  "success": true|false,      // whether this request was a valid reCAPTCHA token for your site
  "score": number             // the score for this request (0.0 - 1.0)
  "action": string            // the action name for this request (important to verify)
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

Nächste Schritte

  • Wenn Sie Ihr website-spezifisches Modell optimieren möchten, können Sie die Bewertungs-IDs an Google zurückschicken, um echte positive und echte negative Ergebnisse zu bestätigen oder Fehler zu korrigieren. Weitere Informationen finden Sie unter Bewertungen annotieren.