# Security-Alert-Delivery für trauer.augsburger-allgemeine.de trauer.augsburger-allgemeine.de: 5 Security-Alert(s), primärer Owner IT/Security, SLA 0-14 Tage. > Delivery-Payloads sind Integrationsvorlagen und Dry-Run-Nachweise. Sie senden nichts, enthalten keine Secret-Werte und müssen im Zielsystem mit HMAC, Idempotency und Zugriffsschutz verifiziert werden. ## Dry-Run - Sendet Payloads: nein - Dry-Run: ja - Idempotency-Key: sp-security-alert-8161e984f5efedad0a8eafdd ## Signatur - Status: secret_missing_dry_run - Algorithmus: HMAC-SHA256 - Body SHA-256: 8658f4115143285a43e2e9c30dd8f166c2b52b4f1aa4de4f55f76955bc1750a5 - Secret Ref: SAFERPAGE_WEBHOOK_SECRET or SAFERPAGE_OPERATOR_WEBHOOK_SECRET - Verify Command: `printf %s "$BODY" | openssl dgst -sha256 -hmac "$SAFERPAGE_WEBHOOK_SECRET" -binary | xxd -p -c 256` ### Empfänger muss prüfen - X-SaferPage-Event equals security.alert - X-SaferPage-Domain matches expected domain - X-SaferPage-Idempotency-Key was not processed before - HMAC over the exact request body matches X-SaferPage-Signature - Timestamp/replay window is enforced by the receiving system when enabled ## Test-Fixture - Zweck: Öffentlicher Testfall für Empfänger-Implementierungen. Nicht als produktives Secret verwenden. - Test-Secret: `saferpage_delivery_test_secret_do_not_use_in_production` - Erwartete Signatur: `sha256=aa108f8159ee8b3c7aee0828273d3ddc9d6e3d0fc2f110c510bd6dcb0bef16fd` - Header: `X-SaferPage-Signature: sha256=aa108f8159ee8b3c7aee0828273d3ddc9d6e3d0fc2f110c510bd6dcb0bef16fd` - Positivtest: Empfänger akzeptiert den unveränderten generic_webhook-Body mit expected_signature und Idempotency-Key. ### Negativtests - Body um ein Zeichen verändern: Signatur muss abgelehnt werden. - X-SaferPage-Domain auf andere Domain setzen: Payload muss abgelehnt werden. - X-SaferPage-Idempotency-Key erneut senden: Payload muss als Duplikat abgelehnt oder ignoriert werden. - Signature-Prefix entfernen oder falschen Algorithmus nutzen: Payload muss abgelehnt werden. ### Beispiel-Kommandos - body_sha256: `printf %s "$BODY" | sha256sum` - expected_signature: `printf %s "$BODY" | openssl dgst -sha256 -hmac "saferpage_delivery_test_secret_do_not_use_in_production" -binary | xxd -p -c 256` - curl_dry_run: `curl -X POST "$WEBHOOK_URL" -H "Content-Type: application/json" -H "X-SaferPage-Event: security.alert" -H "X-SaferPage-Domain: trauer.augsburger-allgemeine.de" -H "X-SaferPage-Idempotency-Key: sp-security-alert-8161e984f5efedad0a8eafdd" -H "X-SaferPage-Signature: sha256=aa108f8159ee8b3c7aee0828273d3ddc9d6e3d0fc2f110c510bd6dcb0bef16fd" --data-binary @body.json` ## Header - X-SaferPage-Event: security.alert - X-SaferPage-Domain: trauer.augsburger-allgemeine.de - X-SaferPage-Idempotency-Key: sp-security-alert-8161e984f5efedad0a8eafdd - X-SaferPage-Signature: sha256= ## Payload Templates - generic_webhook - slack_block_kit - teams_adaptive_card - jira_issue - email_digest