Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF

Esta seção explica como os timestamps de desafios e CAPTCHA expiram.

O AWS WAF usa tempos de imunidade de desafio e CAPTCHA para controlar a frequência com que uma única sessão de cliente pode receber um desafio ou CAPTCHA. Depois que um usuário final responde com sucesso a um CAPTCHA, o tempo de imunidade do CAPTCHA determina por quanto tempo o usuário final permanece imune à apresentação de outro CAPTCHA. Da mesma forma, o tempo de imunidade ao desafio determina por quanto tempo uma sessão de cliente permanece imune a ser desafiada novamente após responder com sucesso a um desafio.

Como funcionam os tempos de imunidade de token no AWS WAF

O AWS WAF registra uma resposta bem-sucedida a um desafio ou CAPTCHA atualizando o timestamp correspondente dentro do token. Quando o AWS WAF inspeciona o token em busca de desafio ou CAPTCHA, ele subtrai o timestamp do horário atual. Se o resultado for maior que o tempo de imunidade configurado, o timestamp expirará.

Aspectos configuráveis dos tempos de imunidade de tokens no AWS WAF

Você pode configurar os tempos de imunidade a desafio e CAPTCHA no pacote de proteção (ACL da Web) e também em qualquer regra que use a ação da regra CAPTCHA ou Challenge.

  • A configuração padrão de pacote de proteção (ACL da Web) para ambos os tempos de imunidade é de 300 segundos.

  • Você pode especificar o tempo de imunidade para qualquer regra que use a ação CAPTCHA ou Challenge. Se você não especificar o tempo de imunidade para a regra, ela herdará a configuração do pacote de proteção (ACL da Web).

  • Para uma regra em um grupo de regras que usa a ação CAPTCHA ou Challenge, se você não especificar o tempo de imunidade para a regra, ela herdará a configuração de cada pacote de proteção (ACL da Web) em que você usa o grupo de regras.

  • Os SDKs de integração de aplicações usam o tempo de imunidade a desafio do pacote de proteção (ACL da Web).

  • O valor mínimo do tempo limite do desafio de imunidade é 300 segundos. O valor mínimo do tempo limite do CAPTCHA de imunidade é 60 segundos. O valor máximo para ambos os tempos de imunidade é de 259.200 segundos ou três dias.

Você pode usar o pacote de proteção (ACL da Web) e as configurações de tempo de imunidade de nível da regra para ajustar a ação CAPTCHA, Challenge ou o comportamento de gerenciamento de desafios do SDK. Por exemplo, você pode configurar regras que controlam o acesso a dados altamente sensíveis com baixos tempos de imunidade e, em seguida, definir tempos de imunidade mais altos no pacote de proteção (ACL da Web) para que suas outras regras e os SDKs herdem.

Em particular para o CAPTCHA, resolver um quebra-cabeça pode degradar a experiência do seu cliente no site, portanto, ajustar o tempo de imunidade do CAPTCHA pode ajudá-lo a mitigar o impacto na experiência do cliente e, ao mesmo tempo, fornecer as proteções desejadas.

Para obter informações adicionais sobre como ajustar os tempos de imunidade para o uso das ações de regra Challenge e CAPTCHA, consulte Práticas recomendadas para usar as ações CAPTCHA e Challenge.