OVH Community, votre nouvel espace communautaire.

SMS CallBack : Securité et fonctionnement


Luigi_B
25/03/2015, 16h20
Bonjour.

J'ai remonté en interne votre remarque concernant la sécurisation du smscallback dans les axes d'amélioration du service SMS.

Cordialement.

Luigi.B

cchandon
25/03/2015, 15h10
La sécurisation n'est je pense pas trés compliquée à développer, et tout en gardant la comptabilité avec l'ancien format OVH non sécurisé grâce à l'ajout d'un "header http" dans les requêtes des callback (exemple des webhook dans mandrillapp, voir ici http://help.mandrill.com/entries/237...bhook-requests )

Cédric

Luigi_B
25/03/2015, 11h22
Bonjour.

Tout d'abord, veuillez nous excuser pour le délai de réponse.

Concernant vos interrogations :

- Il n'y a pas de moyen pour sécuriser ce service avec une clé de cryptage.

- Le Callback a lieu quoi qu'il arrive donc si il n'aboutit pas c'est qu'il y a un souci sur le domaine en question au moment de l'envoi de celui-ci par nos serveurs, il n'y a pas de seconde tentative.
Si par contre celui-ci ne se fait pas du tout, il sera nécessaire de faire de notre côté des analyses en interne par le biais d'un ticket incident avec des horodatages précis.

- Il n'y a pas de log disponible pour cette fonction, cependant vous pouvez faire une vérification des requêtes au niveau des logs web (Comme Apache).

Cordialement.

Luigi.B

cchandon
20/03/2015, 15h28
Bonjour,

3 questions concernant le fonctionnement des URL de callback SMS :
- Y-a-t il un moyen de sécuriser l'appel de l'url de CallBack, afin que des petits malins ne puissent pas jouer avec (et eventuellement envoyer de fausses informations concernant l'état des SMS envoyés ) ? Habituellement, ce qui se fait en la matière est la configuration, en plus de l'URL callback, d'une clé secrète, puis à chaque appel de callback, un parametre supplémentaire &crypt=425425432536 est envoyé, ce paramêtre étant "codé" à partir de la clé secrète + les valeurs des autres paramêtres transmis lors de l'appel du callback. Il suffit au serveur recevant l'appel du callback de calculer lui aussi cette valeur "crypt" et de vérifier que la valeur calculée et la valeur transmise sont bien égale.
Je ne vois ici aucun mécanisme de ce type, ou je me trompe ?

- Si un appel callback n'aboutit pas (par exemple, problème réseau, serveur planté, retour 500 ou 404 etc...), est-ce que le callback est ré-émis ou est-ce qu'il est perdu ? S'il est ré-émis, combien de fois, sur quelle durée (3 jours ?)

- Y-a-t il un log accessible des callback SMS effectuée (liste des callbacks transmis + réponses du serveur suite au callback) ? Je ne vois rien dans la nouvelle ni l'ancienne console OVH concernant ce point ?

Merci pour votre retour
Cordialement,
Cédric