問題タブ [authenticity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - rails in_place_edit:認証トークンを渡すにはどうすればよいですか?
編集を適切に機能させようとしていますが、次のエラーが発生しています。
ActionController :: InvalidAuthenticityToken(ActionController :: InvalidAuthenticityToken)
Railsが偽造から保護したいと考えており、フォームの信頼性トークンを渡す必要があることは理解していますが、in_place_editプラグインを使用してこれを行う方法がわかりません。
http - HTTPアップロードが本物の実行可能ファイルからのものであることを確認する方法
現在、WebアプリにデータをアップロードするネイティブWindowsアプリ(MFC)を作成中です。Windowsアプリでは、ユーザーがログインできるようになり、その後、定期的にWebアプリにデータがアップロードされます。アップロードは、単純なHTTPPOSTを介してWebアプリに実行されます。私が懸念しているのは、アップロードが実際にアプリからのものであり、curlなどからのものではないことをどのように確認できるかということです。ここでは、ある種の公開鍵/秘密鍵の暗号化を検討していると思います。しかし、どういうわけか、winアプリの実行可能ファイルに公開鍵を埋め込んでそれで済ますことができるかどうかはわかりません。それとも、その公開鍵をアプリの外部で抽出して使用するのは簡単すぎるでしょうか?
とにかく、私たちは両方の側(クライアントとサーバー)を構築しているので、ほとんど何でもオプションですが、HTTP(S)を介して機能する必要があります。ただし、win(クライアント)アプリの実行環境は管理していません。また、システムをゲーム化することで何かを得るために立っているのは、自分のシステムでアプリを実行しているユーザーだけです。
c# - 完全性と信頼性
たくさんの質問を続けて申し訳ありませんが、皆さんはいつもとても親切で親切なようです...
ファイルからデータをインポートするアプリケーションを実行する必要があります。たとえば、ユーザーが1つのファイルを選択すると、アプリケーションはいくつかのデータをデータベースにインポートします。
しかし、私は考えていました。この種のアプリは、ファイルの整合性と信頼性の問題につながります。ユーザーがファイルを変更した場合、アプリケーションはその情報を使用できません。また、1つのファイルがよく知られたソースからのものでない場合、アプリケーションはそのファイルを使用できません。
どうすればこのようなことができますか?
PS:私はC#.NETを使用しています
digital-signature - 自動生成されたレポートへの署名と検証
去年の夏、私は見込み顧客のコンピュータが当社のハードウェアを統合するのに適しているかどうかをテストするアプリケーションに取り組んでいました。提案された概念の 1 つは、ツールによって生成された HTML レポートを、特定の状況での払い戻しの正当な理由として使用することでした。
私の即座の反応は、「これらの報告書が真正であることを確認するために、これらの報告書に署名しなければならない」というものでした。私が思い描いた解決策は、レポートの署名を作成し、それをメタ タグに埋め込むことでした。残念ながら、このシナリオではアプリケーションがレポートに署名する必要があるため、秘密鍵が必要になります。アプリケーションが秘密鍵を保存すると、真正性が保証されない振り出しに戻ります。
私の次のアイデアは、家に電話してサーバーにレポートに署名させることでしたが、ユーザーはハードウェアの互換性をテストするためだけにインターネット接続が必要です。さらに、アプリケーションはサーバーで認証する必要があり、関係者はそれを行うために使用している資格情報を把握できます。
だから私の質問はこれです。難読化以外に、アプリケーションが特定のレポートを実際に生成したことを確認する方法はありますか?
security - メッセージ認証コード(MAC)は、使用されるキーの信頼性を保証しますか?
私は、パスワードを使用してレコードのファイルの機密性、整合性、および信頼性を保護する必要があります。レコードの数は潜在的に32^2を超える可能性があり、各レコードに個別にアクセスできます。
それを実装する1つの方法は
- 256ビットのランダムソルトを生成し、ファイルヘッダーに保存します。
- PKCS#5のHMAC-SHA256でPBKDF2を使用して、パスワードとソルトから派生キーを生成します。
- レコードごとに、96ビットのランダム初期化ベクトルを生成します。
- 派生キー、初期化ベクトル、および(追加の認証済みデータとして)ファイル内のレコードの位置を使用して、GCMモードでAES-256を使用して各レコードのコンテンツを暗号化します。
- その結果、各レコードには、初期化ベクトル、暗号化されたコンテンツ、およびMACが格納されます。
ただし、GCMとGMACを定義するNIST Special Publication SP800-38Dでは、初期化ベクトルを一意にするために、レコード数を32^2未満にする必要があります。
そこで、別の解決策を考案しました。派生キーをキーとして使用し、ファイル内のレコードの位置を認証(ソルト)するメッセージとして使用して、HMAC-SHA256で各レコードのキーを作成します。
したがって、問題は、キーを生成するときにすでに処理しているので、ファイル内のレコードの位置を追加の認証済みデータとして認証済み暗号化アルゴリズムに提供する必要があるかどうかです。
さらに、HMAC-SHA256(PBKDF2(HMAC-SHA256、password、salt、iterationCount、256)、blockAddress)によって生成されたと思われる異なるキーを使用してすべてのレコードが暗号化および認証されるため、本当に初期化ベクトルを使用する必要がありますか?
ファイルのサイズがわからないので、非常に大きくなる可能性があると思います。
cryptography - 基本的な高性能データの信頼性
(私はネイティブ スピーカーではないため、用語が正しくない可能性があります。申し訳ありません。)
私は、個人使用のために AVR マイクロコントローラー間で無線を介してデータを送信しています。送信されたデータが、許可されたクライアントの 1 つから発信されたものであることをクライアントに証明してもらいたいと考えています。これは、否認防止を必要とせず、共有鍵を事前に定義できることを意味します。さまざまなアプローチについて調査を行った結果、自分の要件に最も適したアプローチを選択するには、何らかの支援が必要であることがわかりました。
最大限のセキュリティは必要ないことをご理解ください。潜在的なスクリプトキディの隣人が数時間以内に侵入するのを防ぎたいだけです. 今日の時点で、平均的な消費者向け機器を使い始めるのに数週間かかる場合でも、私は問題ありません。
私が送信しているメッセージはサイズがかなり小さく (数バイトのペイロードのみで 30 バイト以下)、頻度は 30 メッセージ/分以下です。
使用例の 1 つは、無線でメッセージを処理ユニットに送信する動作検出器です。処理ユニットは、別のメッセージを無線でライト スイッチに送信します。輸送に集中しないでください。この質問は、データの信頼性のみに関するものです。
フラッシュと RAM が非常に限られている 20 MHz AVR マイクロコントローラーでクライアント/サーバー ソフトウェア (C) を実行しています。そのため、高いデータ レートを提供しながら、コード サイズと RAM の使用率が小さいソリューションを探しています。
20 バイトのデータからハッシュを作成する MD5 実装 (C) でいくつかのパフォーマンス テストを行ったところ、遅すぎる可能性があることがわかりました。MD5 の実装だけでは要件を解決できないことを理解しています。ハッシュのパフォーマンスを評価するためだけにテストを行いました。
コメントありがとう
encryption - サーバーからクライアントへのデータの保護と認証
サーバー ソフトウェアからクライアント ソフトウェアにデータを送信したいのですが、サーバー (プライベート ソフトウェア) だけがその特定のデータを暗号化でき、クライアントはそれを復号化できるような方法で暗号化します。
最初は RSA が解決策になると思っていましたが、私が理解しているように、逆方向に使用したいと考えています。サーバーで公開鍵を使用してデータを暗号化し、クライアントで秘密鍵を使用して復号化できます。誰かが秘密鍵から公開鍵を導出できることを除けば、それは問題なく機能します。あれは正しいですか?もしそうなら、代替オプションはありますか?
前もって感謝します。
openssl - openSSLによる認証の検証
bobはで秘密鍵を作成しました
次に、で公開鍵を作成しました
彼は、「hello」プレーンテキストを含むdata.txtという名前のファイルを作成し、コマンドを実行しました。
今、彼はアリスにファイルを送りましたdata.txt
。およびsignature.txt
ファイルPublic.pem
。
アリスはどのようにして真正性を検証できますか?
事前にthks
android - Android の特定のデバイスにアプリケーションがインストールされないようにすることはできますか?
すべてのモバイルにインストールすべきではないエンタープライズ アプリがあります。私は IMEI 情報を持つ 50 台の携帯電話を持っています。私のアプリケーションは、これらの 50 台の携帯電話にのみインストールする必要があります。ユーザーが apk を取得しても、アプリをインストールできないようにする必要があります。
私はこれを試しました: アプリをインストールすると、モバイルの IMEI 番号が 50 のうちの 1 つであるかどうかを確認できます。リスクを軽減するための最初の場所。
ibm-mobilefirst - Worklight 5.0.6 で Worklight 5.0.3 プロジェクトをロードするときの SecurityTest の問題
worklight 5.0.6 に worklight 5.0.3 プロジェクトをインポートしました。ワークライト・コンソール (スタジオ・テスト環境) に wlapps をデプロイするとき、私はアプリを持っています。認証は無効に設定されています。バージョン5.0.3未満ではありませんでした
authenticationConfig.xml ファイルに関して、2 つのバージョン間で変更はありますか?