8
सुरक्षा के उद्देश्य के लिए, मैं केवल मंड्रिल के आईपीएस को एक्सेस करने के लिए अनुमति देता हूं।मंड्रिल वेबहोक्स - सुरक्षा
क्या कोई उन्हें जानता है?
A
उत्तर
9
हमारे पास वेबहुक के लिए उपयोग की जाने वाली आईपी की एक श्रृंखला है, लेकिन वे स्केल कर सकते हैं (और संभवतः) बदल सकते हैं या नए पैमाने पर जोड़े जा सकते हैं। एक विकल्प है जो आप मैनडिल में जोड़े गए वेबहूक यूआरएल में एक क्वेरी स्ट्रिंग जोड़ना चाहते हैं, और फिर जब कोई पोस्ट आता है तो उस क्वेरी स्ट्रिंग की जांच करें ताकि आप इसे मैनरिल से आ सकें।
17
प्रकार का बंदर के हस्ताक्षर HTTP प्रतिक्रिया हेडर में स्थित है: Authenticating-webhook-requests
अनुरोध हेडर खोजने में: X-Mandrill-Signature। यह हैशकोड का बेस 64 है, वेब-हुक कुंजी का उपयोग करके हस्ताक्षरित है। यह कुंजी केवल आपके वेबहूक के लिए गुप्त है।
0
205.201.136.0/16
मैं सिर्फ उन्हें अपने सर्वर के फ़ायरवॉल में श्वेत सूची में है।
2
बस स्थिरांक की जगह है और इस समारोह का उपयोग करें:
<?php
function generateSignature($post)
{
$signed_data = WEB_HOOK_URL;
ksort($post);
foreach ($post as $key => $value) {
$signed_data .= $key;
$signed_data .= $value;
}
return base64_encode(hash_hmac('sha1', $signed_data, WEB_HOOK_AUTH_KEY, true));
}
//---
if (generateSignature($_POST) != $_SERVER['HTTP_X_MANDRILL_SIGNATURE']) {
//Invalid
}
?>
1
प्रकार का बंदर के docs में वर्णित है, वे यदि अनुरोध वास्तव में उन लोगों से आया एक हस्ताक्षर की जाँच करने के प्रदान करते हैं। अनुरोध वहाँ कुछ ही कदम है निर्माण करने के लिए: अपने webhook की सटीक यूआरएल साथ
- शुरुआत (मन स्लैश और पैरामीटर)
- तरह कुंजी (एक प्रकार का बंदर के मामले में द्वारा पोस्ट चर, आप केवल एक होगा पोस्ट पैरामीटर:
mandrill_events) - अपने गुप्त कुंजी के साथ यूआरएल यूआरएल की कुंजी है और मूल्य जोड़ने, किसी भी सीमांकक
- HMAC के बिना (आप वेब इंटरफेस से कुंजी) है और यह बेस 64 प्राप्त कर सकते हैं।
X-Mandrill-Signatureहैडर
साथ परिणाम की तुलना यहां अजगर में एक नमूना कार्यान्वयन है:
import hmac, hashlib
def check_mailchimp_signature(params, url, key):
signature = hmac.new(key, url, hashlib.sha1)
for key in sorted(params):
signature.update(key)
signature.update(params[key])
return signature.digest().encode("base64").rstrip("\n")
संबंधित मुद्दे
- 1. मंड्रिल इनबाउंड ईमेल रूटिंग
- 2. मंड्रिल ईमेल अनुलग्नक फ़ाइल पथ
- 3. ब्राउज़र कार्यक्षमता में मंड्रिल और देखें
- 4. सुरक्षा
- 5. ASP.Net सुरक्षा संचालन आधारित सुरक्षा
- 6. सामग्री-सुरक्षा-नीति वसंत सुरक्षा
- 7. वेबमैट्रिक्स वेब सुरक्षा सुरक्षा पासवर्ड
- 8. ब्राउज़र सुरक्षा कितनी बड़ी सुरक्षा जोखिम है?
- 9. __func__ पहचान सुरक्षा सुरक्षा जोखिम कैसे है?
- 10. डेल्फी 7 टीआईडीएफटीपी एफ़टीपी सुरक्षा (पासवर्ड सुरक्षा)
- 11. टाइप-सुरक्षा
- 12. विजेट सुरक्षा
- 13. वसंत सुरक्षा
- 14. फ्लास्क-सुरक्षा
- 15. स्प्रिंग सुरक्षा
- 16. वसंत-सुरक्षा
- 17. वसंत सुरक्षा
- 18. स्प्रिंग सुरक्षा
- 19. वसंत सुरक्षा
- 20. स्प्रिंग सुरक्षा
- 21. सिग्नलआर सुरक्षा
- 22. पाउचडीबी सुरक्षा
- 23. वसंत सुरक्षा
- 24. वसंत सुरक्षा:
- 25. Grails सुरक्षा
- 26. वसंत सुरक्षा
- 27. वसंत सुरक्षा -
- 28. स्प्रिंग सुरक्षा
- 29. एनटीएलएम सुरक्षा
- 30. जार सुरक्षा
अरे हाँ, अच्छा और कुशल विचार। दूसरों के लिए, यह मेटाडेटा जानकारी के बारे में है। यह एक जेटी है जिसे मैं अभी आपकी पोस्ट पसंद नहीं कर सकता :)। धन्यवाद – devside
आईपी को धोखा नहीं दिया जा सकता है! – ankitjaininfo
@ankitjaininfo इस प्रश्न पर ठोकर खाई और आपकी टिप्पणी ने मेरी जिज्ञासा पिक्चर की। मेरी पहली प्रवृत्ति "आसानी से नहीं" चीज थी। तब मुझे यह पोस्ट आईटी सिक्योरिटी स्टैक एक्सचेंज पर मिला: https://security.stackexchange.com/questions/14505/can-i-trust-the-source-ip-of-an-http-request। मुझे लगता है कि बेहतर 3 साल देर से, मुझे लगता है। – nageeb