Unbekannter Algorithmus. Erwarteter HMAC-SHA256-Spam in Protokollen

9

Ich benutze facebook php sdk 3.1.1 und die aktuelle Version des facebook JS sdk. Unsere Benutzer melden keine Fehler, aber ich sehe eine Menge Fehlermeldungen wie diese:

  

Unbekannter Algorithmus Erwartete HMAC-SHA256

Ich sehe von der Quelle aus, dass der Fehler beim Lesen einer signierten Anfrage mit dem falschen Kodierungsalgorithmus ausgelöst wird, aber ich bin nicht sicher, warum das so sein sollte, da alle signierten Anfragen mit dem Facebook JS-Code generiert werden sollten / p>

Wer hat dieses Verhalten gesehen? Irgendeine Idee, wie schlimm das ist, oder ob es wirklich Fehler anzeigt? Ich konnte es bei Bedarf nicht replizieren.

    
mike 31.08.2011, 18:26
quelle

4 Antworten

3

Versuchen Sie einige der Parameter signed_request zu protokollieren, um sie manuell zu überprüfen. Zum Beispiel könnten Sie die Protokollzeile in Base_Facebook::parseSignedRequest folgendermaßen ändern:

%Vor%

Sobald Sie ein paar dieser geloggten haben, dekodieren Sie sie manuell oder fügen Sie sie am Ende dieser URL ein:

Ссылка

Überprüfen Sie, welcher Algorithmus in der Payload angegeben ist oder ob die Daten in irgendeiner Weise fehlerhaft sind. Wenn Sie die Ergebnisse hier freigeben, müssen Sie private Daten wie den Zugriffstokenwert auslassen.

Sie können auch die Zugriffsprotokolle Ihres Webservers überprüfen. Suchen Sie zunächst nach GET-Anforderungen mit einem Abfrageparameter signed_request , der ungefähr zur gleichen Zeit wie die Einträge in Ihren Fehlerprotokollen auftrat.

    
PCheese 08.09.2011 20:54
quelle
0

Vielleicht verwenden Sie die v3.1.1 des SDK? Ссылка

    
olleolleolle 06.09.2011 09:38
quelle
0

Wahrscheinlich machst du eine get / post-Anfrage auf derselben Seite, auf der du Facebook-Objekte erstellst. Also gibt es keinen Parameter signed_request für Ihre Anfrage und Facebook-Klasse, die diesen Fehler für Sie zurückgibt:)

Vielleicht Google oder andere Suchmaschinen, die Ihre Website mithilfe ihrer Crawler anfordern? Das ist auch möglich.

Ich hoffe, dass diese Antwort für Sie hilfreich sein wird.

    
kkszysiu 14.09.2011 07:25
quelle
0

Ich habe meine Logbücher durchgesehen und herausgefunden, was ich für das Problem halte. Ich fand, dass es keine exakte Korrelation bezüglich des Zeitstempels gibt, aber es gibt eine nahe genug Korrelation zwischen diesem Protokolleintrag im Syslog und einer protokollierten Anforderung, die einen Bing-Verweis verwendet.

Der Bing-Referer hat eine Handvoll verräterischer Anzeichen dafür, dass er verwandt ist:

1) URL: Ссылка 2) Abfrage String-Komponenten:
2a) form = FBKBFT
2b) pc = FACEBK
2c) signed_request =

Wenn Sie Ссылка aufrufen, wird scheinbar der Facebook Bing-Sucher angezeigt. Wenn du zu Facebook gehst und die Suche oben verwendest, um nach etwas zu suchen, dann gehe zu Web-Ergebnissen, du wirst sehen, dass es auch Bing verwendet.

Ich glaube, dass die facebook-Integration von bing irgendwie ungültige Daten in der Zeichenkette signed_request liefert. Leider bin ich nur der Systemadministrator und der Server, auf dem ich das sehe, ist einer meiner Kunden. Eine, die sich nicht um den Fehler kümmert. Ich habe es mit syslog-ng zu einer separaten Protokolldatei gefiltert, zusammen mit einer ganzen Reihe anderer Fehler, die von php facebook stuff kommen.

    
Speeddymon 16.11.2012 04:03
quelle