Pourquoi curl réussit mais pas la production ?

Parce que la reserialisation JSON change espaces et ordre des clés, donc les octets hachés diffèrent.

Quelle fenêtre de rejeu choisir ?

Commencer à 300 secondes pour le chat, étendre vers 600 secondes si les files sont lentes, et documenter.

Slack et la dérive NTP ?

L'horodatage Unix fait partie de la chaîne signée ; quelques minutes de dérive suffisent à rejeter des événements valides.

OpenClaw webhooks entrants HMAC GitHub Slack macOS 2026

Lorsque votre passerelle OpenClaw sur macOS accepte des webhooks Slack, GitHub ou des bots internes en 2026, la première flambée n'est rarement la latence modèle : ce sont des vérifications HMAC qui échouent silencieusement, ou des signatures valides sans anti-rejeu, ce qui déploie deux fois le même HTML. Ce guide explique comment hacher exactement les octets bruts signés par l'émetteur, comment choisir une fenêtre de secondes auditable, comment la dérive NTP casse les horodatages Slack, et comment les clés d'idempotence absorbent les retry fournisseurs. Lisez aussi Webhook vers Ollama, diagnostic doctor et dérive NTP/JWT.

Chiffres concrets : 300 secondes comme première tolérance de rejeu pour le chat synchrone, 600 secondes lorsque des files régionales allongent la queue. Pour un staging qui imite launchd de production, un Mac mini Apple Silicon loué chez MacHTML coûte typiquement environ 16,9 USD par jour selon la grille publique—moins cher qu'un bridge téléphonique nocturne quand les signatures clignotent.

Modèle de menace

OpenClaw peut écrire des dépôts, lancer des builds et patcher des assets statiques. Chaque POST non authentifié devient une surface supply-chain. Les signatures sont nécessaires mais insuffisantes si le secret fuit : rotation, droits outils minimaux et listes IP complètent le dispositif. Modélisez scanners publics, rejoueurs internes lors d'incidents et fournisseurs compromis avec retries légitimes.

Séparez le trafic navigateur CORS des webhooks machines ; des écouteurs distincts simplifient quotas et règles WAF. Un sous-domaine dédié avec mTLS coûte plus cher mais réduit l'exposition.

Octets bruts avant JSON.parse

Les algorithmes portent sur des octets, pas sur des objets sémantiques. Exposez rawBody, vérifiez puis parsez. Sur nginx, évitez double gzip ou filtres qui réécrivent le corps—sinon les signatures échouent par intermittence alors que curl reste vert.

Journalisez longueur et empreinte hachée, jamais le HTML client en clair. Comparez laptop, CI et mini loué pour repérer vite la dérive.

GitHub, Slack, HMAC générique

GitHub envoie X-Hub-Signature-256 avec préfixe sha256= et X-GitHub-Delivery comme clé d'idempotence. Slack signe v0:{timestamp}:{body} puis Base64 dans X-Slack-Signature. Les fenêtres horaires sont strictes ; couplez la supervision à timed. Pour des partenaires génériques, interdisez explicitement les familles de hash faibles.

Matrice de rejeu

Source	Fenêtre initiale	Note
Slack Events	300 s	Coupler au NTP
GitHub	600 s	Dédoublonner par delivery ID
Jobs internes	120 s	LAN à faible latence
SaaS SLA inconnu	900 s	Surveiller la RAM Redis

Si proxy_read_timeout vaut 120 s mais la fenêtre de rejeu tolère 300 s, les partenaires voient des timeouts artificiels avant votre logique—harmonisez dans un runbook unique.

Horloge et Slack

Quelques minutes de dérive sur un Mac mini rejettent des événements Slack valides. Alerte si l'offset absolu dépasse 2 secondes deux fois de suite—seuil plus serré que le desktop classique. Voir l'article NTP.

TTL Redis

Après signature valide, enregistrez l'empreinte avec SET NX EX. Le TTL est le max entre fenêtre de rejeu et politique de retry documentée ; alignez-vous sur les règles d'idempotence. Un million de clés d'environ 100 octets pèsent ~100 Mo avant fragmentation.

nginx et TLS

Avec terminaison TLS en bordure, le corps doit rester inchangé jusqu'au nœud. Isolez les healthchecks des routes webhook pour éviter qu'un gros push Git noie vos sondes synthétiques.

Archives curl

Conservez des fixtures signées en dépôt privé, rejouez avec curl --data-binary @fichier et le même Content-Type. Trois vagues : valide, corps altéré, horodatage expiré. Reliez les métriques aux codes de sortie doctor.

curl -sS -X POST 'https://hooks.staging.example/openclaw/github' \
  -H 'Content-Type: application/json' \
  -H 'X-GitHub-Delivery: test-delivery-001' \
  -H 'X-Hub-Signature-256: sha256=REPLACE' \
  --data-binary @fixtures/push-main.json

Checklist de déploiement

Épingler la version et archiver la sortie JSON de doctor.
Mesurer le p95 sur 1000 livraisons synthétiques.
Mode audit seul pendant 24 heures.
Activer l'application stricte, surveiller le budget d'erreur, garder un rollback.
Rotation double secret pendant au moins 15 minutes.
Joindre preuves curl, diff nginx et numéro de ticket.

Observabilité et alertes

Sans compteurs séparés pour erreurs de format, horodatages expirés et échecs cryptographiques, l'astreinte interprète chaque panne de signature comme un 500 générique. Ajoutez des labels peu cardinaux : webhook_provider, reject_reason, replay_window_seconds. Si GitHub voit des 400 pendant un énorme push monorepo parce que votre limite de corps est trop basse, cela ne doit pas ressembler à une fuite de secret. Exportez des histogrammes de durée de vérification—si le p95 passe de 3 ms à 80 ms, inspectez throttling CPU ou I/O disque pendant la rotation des logs.

Les logs structurés doivent inclure X-GitHub-Delivery ou le timestamp Slack pour corréler les tickets support. Masquez toujours les secrets : jamais d'en-têtes bruts avec Bearer complet sur stdout, même en debug interne. Pour la conformité, archivez quotidiennement les taux de refus agrégés dans un SIEM 90 jours, tandis que les charges brèves restent dans des compartiments chiffrés à rétention plus courte.

Alignement front, plateforme et sécurité

Le front possède la liste exacte des origines navigateur, la plateforme possède nginx et les certificats. La sécurité webhook se situe entre les deux : maintenez un tableau partagé URL publique, port d'écoute, ID d'app Slack. Sans cela, les équipes rotent les secrets indépendamment et les signatures « cassent » au hasard. Planifiez des exercices trimestriels où la sécurité injecte des signatures expirées et vérifie que les tableaux de bord alertent en 5 minutes.

Les CAB demandent souvent « upstream compromis ? » : répondez avec un runbook—rotation immédiate, fenêtre de rejeu réduite temporairement à 120 secondes, pause des files, relance de doctor, puis restauration de la fenêtre quand les métriques sont vertes. Documentez qui porte le coût mémoire Redis pendant la fenêtre courte, sinon la finance bloque le budget.

Latence régionale

Si la passerelle est à Francfort et GitHub part de US-Est, la TLS et le routage ajoutent des millisecondes en file. Mesurez des allers-retours synthétiques depuis les deux régions au moins hebdomadairement. Si le p99 explose, vérifiez le transport avant de blâmer OpenClaw. Un second mini de staging à Tokyo évite les surprises en Asie quand l'Europe reste verte.

Rotation des secrets sans downtime

Autorisez deux secrets actifs pendant le redémarrage progressif des workers. Documentez quels LaunchAgents lisent quelles variables. Évitez les pkill brutaux pendant les flux ouverts. Avec Vault ou Secrets Manager, poll au plus 60 secondes pour que les nouveaux secrets arrivent sans SSH manuel. Sur mini loué : chargez le secret B, validez 50 hooks, désactivez A, observez 15 minutes, purgez A. Sinon d'anciens secrets restent dans des backups oubliés.

Les hôtes Apple Silicon accélèrent ces exercices car les redémarrages prennent des secondes et le throttling thermique fausse rarement les benchmarks crypto.

Conformité et rétention

Les clients finance ou santé exigent souvent 30 jours d'audit agrégé sur les refus sans PII brute. Exportez des compteurs reject_reason vers un préfixe objet immuable signé par une clé interne distincte des secrets webhook. Pour les audits externes, clonez un mini avec payloads synthétiques—jamais de snapshot Redis de prod sur portable. Notez quels rôles peuvent effacer des snapshots pour éviter la contournement des obligations de rétention.

FAQ

Webhook et SPA sur le même port ?

Possible mais déconseillé : séparez quotas et règles.

Code HTTP si mauvaise signature ?

Privilégiez 401/403 plutôt que 500 pour un backoff prévisible.

Les Mac mini Apple Silicon combinent performance Node prévisible et faible consommation au repos—souvent citée autour de 6 à 12 watts pour charge légère—et restent silencieux sous le bureau. macOS reflète launchd, les invites TCC et les smokes Safari, donc staging et prod réagissent pareil. Les locations MacHTML avec SSH et VNC optionnelle permettent des rejoueurs nocturnes sans laisser un portable sur le Wi-Fi d'hôtel. Ajustez les jours loués au rythme des releases plutôt qu'un amortissement matériel de trois ans.

Si vos audits HTML/CSS dépendent d'approbations chat, commencez par des webhooks ennuyeusement fiables : octets bruts, fenêtres documentées, dédoublonnage et healthchecks doctor. OpenClaw devient alors une infrastructure que la sécurité peut signer.

Répéter vos webhooks sur un Mac mini cloud

Rejouez avec un launchd et nginx proches de la prod, puis relancez doctor—tarifs MacHTML d'environ 16,9 USD/jour.

Louer maintenant Guide SSH/VNC