Das Widget absichern: zulässige Domains und Identitätsprüfung (HMAC)

Michael

Michael

Zuletzt aktualisiert am Jun 26, 2026

📍 Wo Sie es finden: Posteingänge → (Ihr Website-Posteingang) → Einstellungen → Tab "Konfiguration"

Sie können die Websites einschränken, auf denen die Blase erscheinen darf (zulässige Domains), und eine Identitätsprüfung (HMAC) aktivieren, um sicherzustellen, dass angemeldete Besucher wirklich diejenigen sind, die sie vorgeben zu sein.

So funktioniert es

Die "Zulässigen Domains" beschränken die Anzeige des Widgets auf Ihre echten Domains. Die Identitätsprüfung beruht auf einem geheimen Schlüssel (HMAC): Ihre Website signiert die Identität des angemeldeten Nutzers, und Madyis Hub überprüft diese Signatur. Wenn Sie die Prüfung verpflichtend machen, können nur korrekt signierte Besucher chatten. Eine Option erlaubt zudem die Anzeige in einer mobilen Webview.

Schritt für Schritt

  1. Posteingänge → Einstellungen Ihres "Website"-Posteingangs → Tab "Konfiguration".
  2. Tragen Sie Ihre "Zulässigen Domains" ein (eine pro Zeile) und klicken Sie dann auf "Aktualisieren".
  3. Öffnen Sie den Bereich "Identitätsprüfung": Kopieren Sie den geheimen Schlüssel (HMAC).
  4. Implementieren Sie die HMAC-Signatur auf Ihrer Website-Seite mit diesem Schlüssel (siehe die verlinkte Dokumentation).
  5. Aktivieren Sie "Prüfung verpflichtend machen", sobald die Signatur eingerichtet ist.
  6. Aktivieren Sie "Mobile Webview erlauben", wenn Sie das Widget in eine mobile App einbetten.

Gut zu wissen

  • Aktivieren Sie die Prüfpflicht erst, NACHDEM Sie die Signatur getestet haben, sonst können Ihre Besucher nicht mehr schreiben.
  • Halten Sie den geheimen Schlüssel vertraulich: Er darf niemals im Klartext auf der Browser-Seite offengelegt werden.