Xác minh X-Device-Signature thủ công với CyberChef

UnifyPort thực sự ký cái gì

Mỗi delivery có cấu hình signing secret đều mang theo ba header:

Chữ ký được tính như sau:

Vài điểm đáng dán cạnh màn hình trước khi debug:

• Ký tự giữa timestamp và body là dấu chấm ASCII (.), không phải xuống dòng.
• raw_body là byte chúng tôi gửi — trước khi bạn parse JSON, xoá khoảng trắng, hay chuẩn hoá unicode.
• Output hex là chữ thường. Nếu so sánh với digest viết hoa, bạn sẽ false-negative.

Recipe CyberChef

Trong CyberChef, kéo hai operation sau vào pane recipe theo đúng thứ tự:

1. 1. HMAC — đặt Hashing function thành SHA256. Dán signing secret vào ô Key, Type chọn UTF8.
2. 2. To Hex — Delimiter để trống, Bytes per line là 0. Sẽ ra chuỗi hex chữ thường không có khoảng trắng, khớp với header.

Trong pane Input, dán đúng <timestamp>.<raw_body> — ví dụ:

Output phải khớp với X-Device-Signature trong delivery. Nếu không khớp, bug nằm ở một trong ba chỗ: dùng sai secret, body bị sửa trên đường đi, hoặc bạn đọc timestamp từ sai header.

Khi việc check thủ công này thực sự đáng giá

• Sau khi xoay signing secret. Xác nhận secret mới đến handler trước khi đổ lỗi cho DNS hoặc deploy cũ.
• Sau khi upgrade thư viện JSON. Một số parser re-emit body trước khi đưa cho validator — dễ bỏ sót đến khi chữ ký đột nhiên sai.
• Khi đồng nghiệp nói "máy tôi chạy được". Cả hai cùng chạy recipe và input giống nhau; ai ra digest khác là người đang giữ sai secret.

Về việc dán secret vào trang web

CyberChef là bundle tĩnh phía client — chạy hoàn toàn trong trình duyệt, và bản host chính thức không gửi secret rời khỏi máy bạn. Nếu vẫn lo extension trình duyệt hoặc session dùng chung, chạy CyberChef local (clone repo, mở index.html) hoặc dùng DevToys — bản desktop hoàn toàn offline tương đương. Để xoay secret production, hãy so sánh bằng code với hàm constant-time, không nhìn bằng mắt vào output CyberChef.