Поддержка24

Блокировка скомпрометированных вебхуков

В вебхуке для вызова REST API и в адресе входящего вебхука всегда есть уникальный секретный код. В исходящем вебхуке также есть специальный секретный токен приложения. Они генерируются случайным образом при каждом создании вебхука:

Безопасность

Важно понимать, что секретные коды и токены ни в коем случае нельзя никому показывать, размещать в явном виде в коде страницы вашего сайта или скрипта. Также нужно пристально следить, чтобы эти коды не появились в открытом доступе при разработке интеграций на различных службах хостинга репозиториев и управления версиями – GitHub, BitBucket, SourceForge и др.

Эти секретные коды являются, своего рода, «паролем» для доступа к вашему Битрикс24. С их помощью можно читать, модифицировать и удалять данные Битрикс24 – например злоумышленник, зная секретный код или токен, может украсть базу данных CRM ваших клиентов или вообще ее удалить.


Блокировка скомпрометированных вебхуков

Согласно п.8.1 и п.10.5 Лицензионного соглашения с конечным пользователем и п.5.1 Поручения на обработку персональных данных, компания «1С-Битрикс» вправе без объяснения причин и какого-либо уведомления администратора Битрикс24 предпринять меры, выявляющие и предотвращающие несанкционированный доступ к Программе (1С-Битрикс24), а также информационно-вычислительным и сетевым ресурсам «1С-Битрикс».

При обнаружении секретного кода или токена вебхука в открытом доступе или несанкционированного доступа к Битрикс24 по этим кодам или токенам данный вебхук будет заблокирован. При обращении к заблокированному вебхуку или приложению будет выдаваться ошибка INVALID_CREDENTIALS или Invalid request credentials.


Что делать?

Если ваш вебхук или приложение были заблокированы, то для возобновления их работы, нужно заново сгенерировать секретный код или токен и внести изменения в свое приложение или интеграцию.

Для этого перейдите в раздел Разработчикам → Интеграции, найдите в списке свой вебхук или приложение и нажмите кнопку Перегенерировать, а потом сохраните изменения:

Перегенерировать

Секретные коды вебхуков и токены приложений, созданные другими пользователями, недоступны даже администратору. Если пользователь отредактирует чужой вебхук, то секретный код будет сброшен и владельцем этого вебхука станет тот, кто редактировал вебхук.


Спасибо, помогло!
Спасибо :)
Необязательно:
Оставить отзыв о статье
Не помогло
Очень жаль :(
Уточните, пожалуйста, почему:
Это не то, что я ищу
Очень сложно и непонятно
Оставить отзыв о статье
У меня остались вопросы