مشكلة سر Webhook

Ben_Sutton · 20 أغسطس 2023، 9:30ص

آمل أن يتمكن شخص ما من إخباري بما أفعله بشكل خاطئ هنا.

لقد قمت بإعداد Discourse Webhook وهو يعمل كما هو متوقع بدون سر. ثم أكتب سلسلة نصية في السر، ثم أنسخ تلك السلسلة النصية إلى Webhook المستقبل كرأس، على النحو التالي:

X-Discourse-Event-Signature: secret_here

ينتج عن هذا الخطأ التالي في الجسم عند إرسال Webhook المرسل:

{"code":"rest_forbidden","message":"Sorry, you are not allowed to do that.","data":{"status":401}}

أتوقع أنني فقط لا أفعل ذلك بشكل صحيح، لذا يرجى إرشادي!

أدرك أن السر مشفر باستخدام sha256، لذا فإن الرأس المرسل هو:

X-Discourse-Event-Signature: sha256=XXX

لكنني لست متأكدًا مما يجب أن أفعله بهذه المعلومات في رؤوس أمان Webhook المستقبل.

RGJ · 20 أغسطس 2023، 9:46ص

لست متأكدًا مما إذا كانت هذه هي الطريقة التي تكتب بها المنشور، ولكن العنوان الفعلي سيكون

X-Discourse-Event-Signature: XXX

يمكنك (اختياريًا) استخدام هذا في الطرف المستقبل للتحقق من أن Discourse أرسل بالفعل طلب الويب. إذا لم تقم بالتحقق، فقد يقوم طرف خبيث بتزوير أحداث طلب الويب.

ماذا يعني هذا؟

Ben_Sutton · 20 أغسطس 2023، 10:44ص

إذًا، هل تقترح أن يكون التوقيع في الويب هوك المستلم هو السر المشفر، وليس السر المختار غير المشفر؟

أنا بالفعل أكتب الرأس في التطبيق المستلم هكذا:
X-Discourse-Event-Signature: XXX

ومع ذلك، ما زلت أتلقى خطأ 401 ممنوع عند استخدام سر.

RGJ · 20 أغسطس 2023، 12:22م

من أين هذه اللقطة؟
ربما يمكنك تقديم المزيد من التفاصيل حول إعداداتك.

Ben_Sutton · 20 أغسطس 2023، 12:38م

موقع ووردبريس الخاص بي. أستخدم إضافة ووردبريس لاستقبال Webhooks. إذا لم أضف رأس أمان (سر)، فإن Webhook يعمل بشكل جيد. تحدث المشكلة فقط عند إضافة السر.

إليك الإضافة: Incoming Webhook Triggers - Uncanny Automator

شكراً لوقتك ريتشارد!

Ben_Sutton · 20 أغسطس 2023، 2:50م

لقد قمت بتضييق نطاق المشكلة منذ ذلك الحين:

قد يتم تضمين رؤوس أمان مخصصة في مشغل خطاف الويب الوارد، ولكن هناك ملاحظة مهمة حول كيفية قيام ووردبريس بتغيير الشرطات إلى شرطات سفلية. على سبيل المثال، قد يتطلب استخدام “x-api-key” استخدام “x_api_key” بدلاً من ذلك.

لدي سؤال ذو صلة على الرغم من ذلك @RGJ . لنفترض أن سري هو “1234”. في خطاف الويب المستلم، هل يجب أن تكون قيمة X-Discourse-Event-Signature هي:

1234؛
sha256=encrypted_value_here؛
encrypted_value_here

؟

RGJ · 20 أغسطس 2023، 3:32م

إنها #2، sha256=XXX.

يبدو أن إضافة Wordpress التي تستخدمها يمكنها فقط المقارنة مقابل قيمة رأس ثابتة، وليس توقيع ديناميكي. هذا شيء خاص بـ Discourse.

simon · 20 أغسطس 2023، 3:58م

ألقِ نظرة على كيفية تعامل إضافة WP Discourse مع السر:

github.com/discourse/wp-discourse

lib/plugin-utilities.php

e2657990a


      
          		// The X-Discourse-Event-Signature consists of 'sha256=' . hamc of raw payload.
          		// It is generated by computing `hash_hmac( 'sha256', $payload, $secret )`.
          		$sig = substr( $data->get_header( 'X-Discourse-Event-Signature' ), 7 );
          		if ( $sig ) {
          			$payload = $data->get_body();
          			// Key used for verifying the request - a matching key needs to be set on the Discourse webhook.
          			$secret = ! empty( $options['webhook-secret'] ) ? $options['webhook-secret'] : '';
          
          			if ( ! $secret ) {
          
          				return new \WP_Error( 'discourse_webhook_configuration_error', 'The webhook secret key has not been set.' );
          			}
          
          			if ( hash_hmac( 'sha256', $payload, $secret ) === $sig ) {
          
          				return $data;

Ben_Sutton · 20 أغسطس 2023، 5:46م

لقد اكتشفت منذ ذلك الحين أن قيمة sha تتغير في كل مرة يتم فيها إرسال الـ webhook، لذا فإن وضع قيمة sha في الـ webhook المستقبل لن ينجح. أعتقد أنه يجب أن يكون المثال رقم 1، وكما أعتقد أنك تقترح (رأس ثابت)، هل سيحتاج المكون الإضافي فعليًا إلى فك تشفير التجزئة قبل إنشاء استجابة الرأس؟

في الختام، لا أعتقد أنه يمكنني استخدام X-Discourse-Event-Signature المجزأة في هذا المكون الإضافي، لأنه سيقبل فقط القيم الثابتة.

هل من غير الآمن استخدام webhook بدون سر؟ سأقوم بإرسال أحداث المستخدم من Discourse الخاص بي إلى موقعي الرئيسي، باستخدام عنوان URL غير واضح مثل main-site.com/wp-json/fol/fil/532563-5312534. يمكنني أيضًا إضافة رؤوس ثابتة يجب أن تتطابق في الخطاف المستقبل.

هل يمكنك إعطائي مثالاً لتطبيق يمكنه التعامل مع hmac متغير ديناميكيًا؟

simon · 20 أغسطس 2023، 8:43م

يتم حساب القيمة مقابل حمولة الـ webhook، لذا ستكون مختلفة لكل طلب.

هذا سؤال مثير للاهتمام. التطبيق الوحيد الذي أعرفه هو إضافة WP Discourse، لكن تم تكوينه خصيصًا للتعامل مع webhooks الخاصة بـ Discourse. إذا كان تطبيق Discourse يمنع الأشخاص من التحقق من صحة webhooks باستخدام الأسرار، فقد يحتاج ذلك إلى التحقيق.

سأترك ذلك للآخرين للإجابة عليه.

إذا كنت قلقًا بشأن عدم التحقق من صحة الـ webhook، فربما تحتوي إضافة Incoming Webhook Triggers على خطاف إجراء في رمز استقبال الـ webhook الخاص بها والذي يتم تشغيله قبل معالجة بيانات الـ webhook. إذا كان الأمر كذلك، فيجب أن يكون من الممكن كتابة دالة تتصل به، وتتحقق مما إذا كانت البيانات خاصة بـ webhook Discourse، ثم تتحقق من صحة السر باستخدام شيء مثل الكود الذي ربطته في منشوري السابق.

simon · 21 أغسطس 2023، 2:55م

كنت فضوليًا، لذلك بحثت في هذا الأمر قليلاً. لست متأكدًا من التطبيقات التي تم تكوينها للتعامل مع استلام توقيع HMAC متغير ديناميكيًا، ولكن المصادقة على طلبات الويب هوك باستخدام توقيع HMAC الذي يتم حسابه مقابل الحمولة هو ممارسة قياسية إلى حد ما للتطبيقات التي ترسل طلبات الويب هوك. على سبيل المثال، تستخدم GitHub و Stripe و Shopify هذه الطريقة.

هناك أيضًا عدد غير قليل من التطبيقات الشائعة التي تستخدم طريقة الرمز السري للمصادقة على طلبات الويب هوك. على سبيل المثال (حتى عام 2021) تستخدم Mailchimp و Trello و Slack و Discord هذا النهج. يبدو أن Slack لا تزال تستخدم هذه الطريقة: Slack developer FAQ | Slack Developer Docs. يمكنني أن أرى كيف أن ذلك سيسهل الأمور على التطبيق الذي يتلقى طلب الويب هوك.

أعتقد أن هناك مفاضلة بين الأمان والراحة فيما يتعلق بتحديد الطريقة التي سيستخدمها التطبيق المرسل. قلقي بشأن طريقة توقيع HMAC الخاصة بـ Discourse هو أنها قد تؤدي إلى قيام الأشخاص بتكوين طلبات الويب هوك بدون مفاتيح سرية للتغلب على صعوبة التعامل مع توقيعات HMAC المتغيرة. على سبيل المثال، هناك عدد قليل من الإشارات في Meta لإرسال طلبات الويب هوك الخاصة بـ Discourse إلى Zapier دون أي ذكر لكيفية التحقق من صحة التوقيع على Zapier. (يجب أن يكون من الممكن تقنيًا التحقق من صحة التوقيعات على Zapier على الرغم من ذلك. أنا لست مستعدًا لاختبار ذلك في الوقت الحالي.)

Ben_Sutton · 21 أغسطس 2023، 4:23م

simon:

أعتقد أن هناك مفاضلة بين الأمان والراحة فيما يتعلق بتحديد الطريقة التي سيستخدمها التطبيق المرسل. قلقي بشأن طريقة توقيع HMAC الخاصة بـ Discourse هو أنها قد تؤدي إلى قيام الأشخاص بتكوين خطافات الويب دون مفاتيح سرية لتجاوز صعوبة التعامل مع توقيعات HMAC المتغيرة. على سبيل المثال، هناك عدد قليل من الإشارات في Meta لإرسال خطافات الويب الخاصة بـ Discourse إلى Zapier دون أي ذكر لكيفية التحقق من صحة التوقيع على Zapier. (يجب أن يكون من الممكن تقنيًا التحقق من صحة التوقيعات على Zapier. لست مستعدًا لاختبار ذلك في الوقت الحالي.)

أتفق تمامًا مع هذا. ربما هذا شيء يمكن للمطورين استكشافه - طريقة أسهل وأكثر توافقًا لتأمين بيانات خطاف الويب.

أيضًا، لست متأكدًا من أن Zapier قادر على التحقق من صحة التوقيع.

Falco · 21 أغسطس 2023، 4:33م

تم تنفيذ ميزة سر الـ webhook وفقًا لـ:

يبدو أن البرنامج الذي تريده لا يدعم ميزة الاتصال الأمني القياسية هذه، ولكن لا يزال بإمكانك استخدام خطافات الويب الخاصة بـ Discourse بدونها.

لا توجد خطط لإضافة رأس ثابت مع سر مشترك، حيث أن القيمة الأمنية لذلك مشكوك فيها. ومع ذلك، إذا كنت بحاجة إلى ذلك، فيجب أن يكون ذلك ممكنًا في إضافة.

الموضوع		الردود	مرات العرض
Discourse signing parameters in webhooks Feature	1	1054	26 نوفمبر 2019
Use Discourse webhooks with PHP Administrators webhooks , how-to	2	4507	26 مارس 2020
Webhook Fails with WP Discourse Plugin WordPress	19	1297	4 مايو 2020
Wordpress Webhook 401 error WordPress	8	1779	7 فبراير 2018
Configure webhooks that trigger on Discourse events to integrate with external services Administrators webhooks , how-to	3	49805	23 يوليو 2025

مشكلة سر Webhook

الموضوعات ذات الصلة