Bewährte Methoden für die Verwendung der Challenge Aktionen CAPTCHA und - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Verwendung der Challenge Aktionen CAPTCHA und

Folgen Sie den Anweisungen in diesem Abschnitt, um AWS WAF CAPTCHA oder Challenge zu planen und zu implementieren.

Plane dein CAPTCHA und fordere die Implementierung heraus

Entscheiden Sie anhand der Nutzung Ihrer Website, der Vertraulichkeit der zu schützenden Daten und der Art der Anfragen, wo Sie CAPTCHA-Rätsel oder stille Herausforderungen platzieren möchten. Wählen Sie die Anfragen aus, bei denen Sie CAPTCHA anwenden möchten, sodass Sie die Rätsel nach Bedarf präsentieren. Vermeiden Sie es jedoch, sie dort zu präsentieren, wo sie nicht nützlich wären und die Benutzererfahrung beeinträchtigen könnten. Verwenden Sie die Challenge Aktion, um Anfragen im Hintergrund auszuführen, die weniger Auswirkungen auf den Endbenutzer haben, aber dennoch sicherstellen, dass die Anfrage von einem JavaScript aktivierten Browser stammt.

CAPTCHA-Rätsel und stille Herausforderungen können nur ausgeführt werden, wenn Browser auf HTTPS-Endpunkte zugreifen. Browser-Clients müssen in sicheren Kontexten ausgeführt werden, um Token zu erhalten.

Entscheiden Sie, wo Sie CAPTCHA-Rätsel und stille Herausforderungen bei Ihren Clients ausführen möchten

Identifizieren Sie Anfragen, die Sie nicht durch CAPTCHA beeinflussen lassen möchten, z. B. Anfragen nach CSS oder Bildern. Verwenden Sie CAPTCHA nur bei Bedarf. Wenn Sie beispielsweise eine CAPTCHA-Prüfung bei der Anmeldung planen und der Benutzer immer direkt von der Anmeldung zu einem anderen Bildschirm weitergeleitet wird, wäre eine CAPTCHA-Prüfung auf dem zweiten Bildschirm wahrscheinlich nicht erforderlich, was Ihre Endbenutzererfahrung beeinträchtigen könnte.

Konfiguriere dein Challenge und CAPTCHA verwende es so, dass AWS WAF nur CAPTCHA-Rätsel und stille Herausforderungen als Antwort auf Anfragen gesendet werden. GET text/html Sie können weder das Rätsel noch die Herausforderung als Antwort auf POST Anfragen, CORS-Preflight-Anfragen (Cross-Origin Resource Sharing) oder andere Typen ausführen, die keine OPTIONS Anfragen sind. GET Das Browserverhalten für andere Anforderungstypen kann variieren und kann die Interstitials möglicherweise nicht richtig verarbeiten.

Es ist möglich, dass ein Client HTML akzeptiert, aber trotzdem nicht in der Lage ist, mit dem CAPTCHA oder dem Challenge-Interstitial umzugehen. Beispielsweise akzeptiert ein Widget auf einer Webseite mit einem kleinen iFrame möglicherweise HTML, ist aber nicht in der Lage, ein CAPTCHA anzuzeigen oder zu verarbeiten. Vermeiden Sie es, die Regelaktionen für diese Art von Anfragen zu platzieren, genauso wie für Anfragen, die kein HTML akzeptieren.

Verwenden Sie CAPTCHA oderChallenge, um den vorherigen Token-Erwerb zu überprüfen

Sie können die Regelaktionen ausschließlich dazu verwenden, das Vorhandensein eines gültigen Tokens zu überprüfen, und zwar an Orten, an denen legitime Benutzer immer über eines verfügen sollten. In diesen Situationen spielt es keine Rolle, ob die Anfrage die Interstitials verarbeiten kann.

Wenn Sie beispielsweise die CAPTCHA-API der JavaScript Client-Anwendung implementieren und das CAPTCHA-Puzzle unmittelbar vor dem Senden der ersten Anfrage an Ihren geschützten Endpunkt auf dem Client ausführen, sollte Ihre erste Anfrage immer ein Token enthalten, das sowohl für Challenge als auch für CAPTCHA gültig ist. Informationen JavaScript zur Integration von Client-Anwendungen finden Sie unter. AWS WAF JavaScript Integrationen

In diesem Fall können Sie in Ihrer Web-ACL eine Regel hinzufügen, die mit diesem ersten Aufruf übereinstimmt, und sie mit der CAPTCHA Regelaktion Challenge oder konfigurieren. Wenn die Regel für einen legitimen Endbenutzer und einen legitimen Browser zutrifft, findet die Aktion ein gültiges Token, sodass die Anfrage nicht blockiert wird und keine Aufforderung oder ein CAPTCHA-Rätsel als Antwort gesendet wird. Weitere Informationen zur Funktionsweise der Regelaktionen finden Sie unter. CAPTCHAund Challenge Handlungsverhalten

Schützen Sie Ihre sensiblen Nicht-HTML-Daten mit und CAPTCHAChallenge

Sie können CAPTCHA und Challenge Schutzmaßnahmen für sensible Nicht-HTML-Daten wie APIs mit dem folgenden Ansatz verwenden.

  1. Identifizieren Sie Anforderungen, die HTML-Antworten akzeptieren und die in unmittelbarer Nähe der Anforderungen für Ihre sensiblen, nicht HTML-Daten ausgeführt werden.

  2. Schreiben Sie CAPTCHA oder Challenge Regeln, die mit den HTML-Anfragen und den Anfragen nach Ihren vertraulichen Daten übereinstimmen.

  3. Passen Sie Ihre Einstellungen CAPTCHA und die Challenge Immunitätszeit so an, dass bei normalen Benutzerinteraktionen die Token, die Kunden aus den HTML-Anfragen erhalten, verfügbar sind und nicht in ihren Anfragen nach Ihren sensiblen Daten abgelaufen sind. Informationen zur Optimierung finden Sie unterAblauf des Zeitstempels: Zeiten der AWS WAF Token-Immunität.

Wenn eine Anfrage für Ihre vertraulichen Daten einer CAPTCHA Challenge OR-Regel entspricht, wird sie nicht blockiert, sofern der Kunde noch über ein gültiges Token aus dem vorherigen Rätsel oder der vorherigen Herausforderung verfügt. Wenn das Token nicht verfügbar ist oder der Zeitstempel abgelaufen ist, schlägt die Anfrage zum Zugriff auf Ihre sensiblen Daten fehl. Weitere Informationen zur Funktionsweise der Regelaktionen finden Sie unterCAPTCHAund Challenge Handlungsverhalten.

Verwenden Sie CAPTCHA und passen Sie Ihre bestehenden Regeln Challenge an

Überprüfen Sie Ihre bestehenden Regeln, um zu sehen, ob Sie sie ändern oder ergänzen möchten. Im Folgenden werden einige gängige Szenarien vorgestellt.

  • Wenn Sie eine ratenbasierte Regel haben, die den Datenverkehr blockiert, Sie das Ratenlimit jedoch relativ hoch halten, um zu verhindern, dass legitime Benutzer blockiert werden, sollten Sie erwägen, nach der Sperrregel eine zweite ratenbasierte Regel hinzuzufügen. Geben Sie der zweiten Regel ein niedrigeres Limit als der Sperrregel und legen Sie die Regelaktion auf oder fest. CAPTCHA Challenge Die Blockierungsregel blockiert weiterhin Anfragen, die mit einer zu hohen Rate eingehen, und die neue Regel blockiert den größten Teil des automatisierten Datenverkehrs mit einer noch niedrigeren Rate. Weitere Informationen über ratenbasierte Regeln finden Sie unter Ratenbasierte Regelanweisung.

  • Wenn Sie über eine verwaltete Regelgruppe verfügen, die Anfragen blockiert, können Sie das Verhalten einiger oder aller Regeln von Block auf CAPTCHA oder ändernChallenge. Überschreiben Sie dazu in der Konfiguration der verwalteten Regelgruppe die Einstellung für die Regelaktion. Informationen zum Außerkraftsetzen von Regelaktionen finden Sie unterRegelgruppen-Regelaktionen überschreiben.

Testen Sie Ihre CAPTCHA- und Challenge-Implementierungen, bevor Sie sie bereitstellen

Bezüglich aller neuen Funktionen folgen Sie den Anweisungen unter. Testen und Optimieren Ihrer AWS WAF Schutzmaßnahmen

Überprüfen Sie während des Tests die Ablaufanforderungen für den Token-Zeitstempel und richten Sie Ihre Web-ACL- und Immunitätszeitkonfigurationen auf Regelebene so ein, dass Sie ein ausgewogenes Verhältnis zwischen der Kontrolle des Zugriffs auf Ihre Website und der Bereitstellung eines guten Benutzererlebnisses für Ihre Kunden erreichen. Weitere Informationen finden Sie unter Ablauf des Zeitstempels: Zeiten der AWS WAF Token-Immunität.