Procedure consigliate per l'utilizzo Challenge delle azioni CAPTCHA e - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate per l'utilizzo Challenge delle azioni CAPTCHA e

Segui le indicazioni riportate in questa sezione per pianificare e implementare il AWS WAF CAPTCHA o la sfida.

Pianifica il tuo CAPTCHA e sfida l'implementazione

Determina dove posizionare i puzzle CAPTCHA o le sfide silenziose in base all'utilizzo del tuo sito web, alla sensibilità dei dati che desideri proteggere e al tipo di richieste. Seleziona le richieste a cui applicare il CAPTCHA in modo da presentare i puzzle secondo necessità, ma evita di presentarli dove non sarebbero utili e potrebbero compromettere l'esperienza dell'utente. Usa l'Challengeazione per eseguire sfide silenziose che hanno un impatto minore sull'utente finale, ma aiutano comunque a verificare che la richiesta provenga da un browser abilitato. JavaScript

I puzzle CAPTCHA e le sfide silenziose possono essere eseguiti solo quando i browser accedono agli endpoint HTTPS. I browser client devono funzionare in contesti sicuri per acquisire i token.

Decidi dove eseguire i puzzle CAPTCHA e le sfide silenziose sui tuoi clienti

Identifica le richieste che non vuoi siano influenzate dal CAPTCHA, ad esempio le richieste di CSS o immagini. Usa CAPTCHA solo quando necessario. Ad esempio, se prevedi di eseguire un controllo CAPTCHA al momento dell'accesso e l'utente passa sempre direttamente dall'accesso a un'altra schermata, probabilmente non sarebbe necessario richiedere un controllo CAPTCHA nella seconda schermata e potrebbe peggiorare l'esperienza dell'utente finale.

Configura Challenge e CAPTCHA utilizza in modo da inviare AWS WAF solo puzzle CAPTCHA e sfide silenziose in risposta alle richieste. GET text/html Non puoi eseguire né il puzzle né la sfida in risposta a POST richieste, richieste di preflight Cross-Origin Resource Sharing (CORS) o altri tipi diversi da OPTIONS richieste. GET Il comportamento del browser per altri tipi di richieste può variare e potrebbe non essere in grado di gestire correttamente gli interstitial.

È possibile che un client accetti l'HTML ma non sia comunque in grado di gestire il CAPTCHA o il challenge interstitial. Ad esempio, un widget su una pagina Web con un iFrame piccolo potrebbe accettare HTML ma non essere in grado di visualizzare un CAPTCHA o elaborarlo. Evita di inserire le azioni delle regole per questi tipi di richieste, come per le richieste che non accettano HTML.

Utilizza CAPTCHA o Challenge per verificare la precedente acquisizione di token

È possibile utilizzare le azioni delle regole esclusivamente per verificare l'esistenza di un token valido, in luoghi in cui gli utenti legittimi dovrebbero sempre averne uno. In queste situazioni, non importa se la richiesta è in grado di gestire gli interstitial.

Ad esempio, se implementi l'API CAPTCHA dell'applicazione JavaScript client ed esegui il puzzle CAPTCHA sul client immediatamente prima di inviare la prima richiesta all'endpoint protetto, la prima richiesta dovrebbe sempre includere un token valido sia per la sfida che per il CAPTCHA. Per informazioni sull'integrazione delle applicazioni client, consulta. JavaScript AWS WAF JavaScript integrazioni

In questa situazione, nell'ACL web, puoi aggiungere una regola che corrisponda alla prima chiamata e configurarla con l'azione della CAPTCHA regola Challenge o. Quando la regola corrisponde per un utente finale e un browser legittimi, l'azione troverà un token valido e pertanto non bloccherà la richiesta né invierà una sfida o un puzzle CAPTCHA in risposta. Per ulteriori informazioni su come funzionano le azioni delle regole, consulta. CAPTCHA e Challenge comportamento d'azione

Proteggi i tuoi dati sensibili non HTML con e CAPTCHAChallenge

Puoi utilizzare CAPTCHA e Challenge protezioni per dati sensibili non HTML, come le API, con il seguente approccio.

  1. Identifica le richieste che accettano risposte HTML e che vengono eseguite in prossimità delle richieste relative ai tuoi dati sensibili non HTML.

  2. Scrivi CAPTCHA o Challenge regole che corrispondano alle richieste di HTML e alle richieste per i tuoi dati sensibili.

  3. Ottimizzate le impostazioni relative ai tempi CAPTCHA e alle tempistiche di Challenge immunità in modo che, per le normali interazioni con gli utenti, i token che i client ottengono dalle richieste HTML siano disponibili e non scaduti nelle loro richieste di dati sensibili. Per informazioni sull'ottimizzazione, consulta. Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF

Quando una richiesta di dati sensibili corrisponde a una Challenge regola CAPTCHA or, non verrà bloccata se il client ha ancora un token valido del puzzle o della sfida precedente. Se il token non è disponibile o il timestamp è scaduto, la richiesta di accesso ai dati sensibili avrà esito negativo. Per ulteriori informazioni su come funzionano le azioni delle regole, consulta. CAPTCHA e Challenge comportamento d'azione

Usa CAPTCHA e ottimizza Challenge le regole esistenti

Rivedi le regole esistenti per vedere se desideri modificarle o aggiungerle. Di seguito sono riportati alcuni scenari comuni da considerare.

  • Se disponi di una regola basata sulla tariffa che blocca il traffico, ma mantieni il limite di velocità relativamente alto per evitare di bloccare gli utenti legittimi, prendi in considerazione l'aggiunta di una seconda regola basata sulla tariffa dopo la regola di blocco. Assegna alla seconda regola un limite inferiore rispetto alla regola di blocco e imposta l'azione della regola su o. CAPTCHA Challenge La regola di blocco bloccherà comunque le richieste che arrivano a una frequenza troppo elevata e la nuova regola bloccherà la maggior parte del traffico automatizzato a una velocità ancora inferiore. Per informazioni sulle regole basate sulla tariffa, consulta. Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF

  • Se disponi di un gruppo di regole gestito che blocca le richieste, puoi modificare il comportamento di alcune o tutte le regole da o Block aCAPTCHA. Challenge A tale scopo, nella configurazione del gruppo di regole gestito, sovrascrivi l'impostazione dell'azione della regola. Per informazioni sull'annullamento delle azioni delle regole, vedere. L'azione delle regole del gruppo di regole ha la precedenza

Testa il tuo CAPTCHA e verifica le implementazioni prima di implementarle

Per quanto riguarda tutte le nuove funzionalità, segui le indicazioni riportate all'indirizzo. Testare e mettere a punto il tuo AWS WAF protezioni

Durante i test, rivedi i requisiti di data e ora di scadenza del token e imposta le configurazioni dell'ACL Web e del tempo di immunità a livello di regola in modo da raggiungere un buon equilibrio tra il controllo dell'accesso al tuo sito Web e l'offerta di un'esperienza positiva ai tuoi clienti. Per informazioni, consulta Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF.