reCAPTCHA is a part of Google Cloud Fraud Defense. For more information, see Google Cloud Fraud Defense.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הסבר על בדיקות של אתרים

בדף הזה מוסבר איך לפרש את הניקוד כדי להבין את רמת הסיכון שאינטראקציות של משתמשים יוצרות, ולנקוט פעולות מתאימות באתר.

מערכת reCAPTCHA מחזירה ניקוד לכל בקשה על סמך האינטראקציות עם האתר שלכם, בלי קשר לסוג המפתח. אחרי שמקבלים את הציון מ-reCAPTCHA, צריך לפרש אותו ולנקוט פעולות מתאימות באתר.

לפני שמתחילים

יצירת בדיקה לאתר.

פירוש תוצאות המבדק

אחרי שהבק-אנד שולח את טוקן התשובה של המשתמש ל-reCAPTCHA, מתקבלת הערכה כתגובת JSON, כמו בדוגמה הבאה.

כדי לפרש את ההערכה, חשוב להתייחס לפרמטרים הבאים:

‫valid: מציין אם אסימון התגובה של המשתמש שסופק תקף. כשהערך בשדה valid = false הוא, הסיבה מצוינת בשדה invalidReason. valid = false יכול להיות גם שהשגיאה מציינת שהמשתמש לא הצליח לפתור את האתגר או שיש אי התאמה.siteKey
invalidReason: הסיבה שמשויכת לתגובה כש-valid = false.
‫action: אינטראקציית משתמש שהפעילה אימות מסוג reCAPTCHA.
‫expectedAction: הפעולה הצפויה מהמשתמש שציינתם כשיוצרים את ההערכה.
‫score: רמת הסיכון שאינטראקציית המשתמש יוצרת. ציון גבוה יותר מצביע על סיכון נמוך יותר.
‫reasons: מידע נוסף על האופן שבו מערכת reCAPTCHA פירשה את האינטראקציה של המשתמש.
‫challenge: מציין את התגובה לאתגר עבור מפתחות אתגר שמבוססים על מדיניות. ערכים אפשריים: PASS,‏ FAIL או NOCAPTCHA.
‫extended_verdict_reasons: סיבות מתקדמות שמשפיעות על קביעת הסיכון.

קודי הסיבה זמינים אחרי הפעלת בדיקת אבטחה אוטומטית על ידי הוספת חשבון לחיוב לפרויקט. כדי לבקש גישה לקודי הסיבות, צריך להוסיף חשבון לחיוב לפרויקט.

גם להערכות מפרויקטים עם מינוי Enterprise מוקצים קודי סיבה מתקדמים. כדי לקבל את הרשימה המלאה של הסיבות המתקדמות והסבר על המשמעות שלהן, אפשר לפנות לנציג המכירות או לכתובת Google Cloud sales.
```
{
 "event":{
    "expectedAction":"EXPECTED_ACTION",
    "hashedAccountId":"ACCOUNT_ID",
    "siteKey":"KEY_ID",
    "token":"TOKEN",
    "userAgent":"(USER-PROVIDED STRING)",
    "userIpAddress":"USER_PROVIDED_IP_ADDRESS"
 },
 "name":"ASSESSMENT_ID",
 "riskAnalysis":{
   "reasons":[],
   "extended_verdict_reasons":[],
   "score":"SCORE"
   "challenge":"PASS"
 },
 "tokenProperties":{
   "action":"USER_INTERACTION",
   "createTime":"TIMESTAMP",
   "hostname":"HOSTNAME",
   "invalidReason":"(ENUM)",
   "valid":(BOOLEAN)
 }
}
```

אימות פעולות

תגובת ה-JSON מכילה את הפרמטר action שציינתם לאינטראקציה של המשתמש כשביצעתם קריאה ל-execute(), ואת הפרמטר expectedAction שציינתם כשביצעתם קריאה ליצירת ההערכה.

מוודאים ש-action זהה ל-expectedAction. לדוגמה, פעולת login צריכה להיות מוחזרת בדף הכניסה. אם יש אי התאמה, זה מצביע על כך שתוקף מנסה לזייף פעולות. אתם יכולים לבצע פעולות נגד האינטראקציה של המשתמש, כמו הוספת אימותים נוספים או חסימת האינטראקציה כדי למנוע פעילויות הונאה.

פירוש הציונים

מערכת הניקוד של reCAPTCHA היא הרחבה של גרסאות קודמות של reCAPTCHA, שמאפשרת רמת פירוט גבוהה יותר בתגובות. ל-reCAPTCHA יש 11 רמות של ניקוד, עם ערכים שנעים בין 0.0 ל-1.0. הציון 1.0 מציין שהאינטראקציה מסוכנת במידה נמוכה, וכנראה שהיא לגיטימית. הציון 0.0 מציין שהאינטראקציה מסוכנת במידה גבוהה, ויכול להיות שהיא הונאה.

מתוך 11 הרמות, רק ארבע רמות הניקוד הבאות זמינות לפני הפעלת בדיקת אבטחה אוטומטית על ידי הוספת חשבון לחיוב לפרויקט: 0.1,‏ 0.3,‏ 0.7 ו-0.9.

כדי לבקש גישה ל-11 רמות של ניקוד, צריך להוסיף חשבון לחיוב לפרויקט.

ציון הסיכון של הגנה על SMS פועל באופן הפוך בהשוואה לציון הגלובלי של reCAPTCHA. ציון סיכון של 0.0 להגנה על הודעות SMS מצביע על רמת ודאות נמוכה לגבי הונאת חיובים על הודעות SMS; ציון סיכון של 1.0 מצביע על רמת ודאות גבוהה לגבי הונאת חיובים על הודעות SMS.

מערכת reCAPTCHA לומדת על ידי מעקב אחרי תנועה אמיתית באתר שלכם. לכן, יכול להיות שהציונים בסביבת פיתוח ובמהלך 7 ימים ממועד ההטמעה יהיו שונים מהציונים לטווח הארוך בסביבת הייצור.

אם התקנתם מפתחות מבוססי-ניקוד, אתם יכולים קודם להריץ את reCAPTCHA בלי לבצע פעולה, ואז להחליט על ערכי הסף על סמך התנועה.

על סמך הניקוד, תוכלו לבצע פעולה מתאימה בהקשר של האתר שלכם. כדי להגן על האתר בצורה טובה יותר, מומלץ לבצע את הפעולה ברקע במקום לחסום את התנועה.

בטבלה הבאה מפורטות כמה מהפעולות שאפשר לבצע:

תרחיש שימוש	פעולה
דף הבית	אפשר לראות תצוגה מגובשת של התנועה במסוף Admin בזמן סינון של סקריפרים.
login	אם הניקוד נמוך, כדאי לדרוש אימות רב-שלבי או אימות באימייל כדי למנוע מתקפות של מילוי פרטי כניסה.
רשתות חברתיות	להגביל את מספר בקשות החברות שלא נענו ממשתמשים פוגעים ולשלוח תגובות מסוכנות לבדיקה.
מסחר אלקטרוני	הצגת המכירות האמיתיות לפני המכירות שמבוצעות על ידי בוטים, וזיהוי עסקאות מסוכנות.

קודי סיבות

קודי הסיבה זמינים אחרי הפעלת בדיקת אבטחה אוטומטית על ידי הוספת חשבון לחיוב לפרויקט. כדי לבקש גישה לקודי הסיבה, צריך להוסיף חשבון לחיוב לפרויקט.

יכול להיות שחלק מהציונים יוחזרו עם קודי סיבה שמספקים מידע נוסף על האופן שבו reCAPTCHA פירש את האינטראקציות.

בטבלה הבאה מפורטים קודי הסיבות והתיאורים שלהם:

קוד סיבה	תיאור
אוטומציה	האינטראקציה תואמת להתנהגות של נציג אוטומטי.
UNEXPECTED_ENVIRONMENT	האירוע נוצר בסביבה לא לגיטימית.
TOO_MUCH_TRAFFIC	נפח התנועה ממקור האירוע גבוה מהרגיל.
UNEXPECTED_USAGE_PATTERNS	האינטראקציה עם האתר שלך הייתה שונה באופן משמעותי מהתבניות הצפויות.
LOW_CONFIDENCE_SCORE	לא התקבלה מספיק תנועת גולשים מהאתר הזה כדי ליצור ניתוח של סיכון האיכות.

תגובה של השיטה siteverify

השיטה siteverify מחזירה אובייקט JSON שמכיל את השדות הבאים כשמשתמשים בה כדי ליצור הערכה:

{
  "success": true|false,      // whether this request was a valid reCAPTCHA token for your site
  "score": number             // the score for this request (0.0 - 1.0)
  "action": string            // the action name for this request (important to verify)
  "challenge_ts": timestamp,  // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
  "hostname": string,         // the hostname of the site where the reCAPTCHA was solved
  "error-codes": [...]        // optional
}

המאמרים הבאים

כדי לשפר את המודל הספציפי לאתר, אפשר לשלוח את מזהי ההערכה בחזרה ל-Google כדי לאשר תוצאות חיוביות אמיתיות ותוצאות שליליות אמיתיות, או לתקן שגיאות. פרטים נוספים מופיעים במאמר בנושא הוספת הערות להערכות.