問題タブ [digest]

HTTP経由でURLにリクエストを送信するJavaソフトウェアを開発しています。これらのURLの一部には、DIGESTまたはBASICによるHTTP認証が必要です。

私のクライアントソフトウェアはこれらのURLにのみ接続し、HTTP応答がHTTP_OK（200）の場合、出力をファイルに書き込みます。

Q1：クライアント側からHTTP認証DIGESTおよびBASICをテストするための最も速くて簡単な方法を知りたいですか？

Q2：この種のサーバーをインストールする必要がありますか、それともインターネット上にすでにいくつかの「テストサーバー」が存在しますか？

Q3：インストールする必要がある場合、インストールして構成する簡単な方法はありますか？

ありがとう。

私は、不正アクセスから十分に保護する必要がある REST サービスを設計しています。すべてのリクエスト パラメータと秘密鍵を sha-256 でハッシュして生成されるセキュリティ ダイジェストを要求し、サービスを https 経由でのみ利用できるようにすることを考えています。これが十分なセキュリティであるかどうか、誰にも教えてもらえますか?

WindowsCalculatorファイルのハッシュ値を生成するための簡単なJavaクラスを作成しました。私はを使用してWindows 7 Professional with SP1います。私は試しJava 6.0.29ましJava 7.0.03た。Javaと（多くの！）外部ユーティリティやWebサイトから異なるハッシュ値を取得している理由を誰かに教えてもらえますか？外部はすべて互いに一致し、Javaだけが異なる結果を返します。

こんばんは

バッキング ストアとして redis を使用して、既存のカスタム ファイル アップロード サービスを ruby​​ (sinatra) に再実装しています。

クライアントは SHA1 ハッシュを計算し、アップロードを開始します 完了するまで最大 64K のチャンクをアップロードします

サーバーはチャンクをファイルに追加し、完全なファイルの SHA1 ハッシュを計算して、正しい受信を確認します

今、私が望んでいるのは、(最後にファイル全体をゼロから読み取るのではなく) 各チャンクで ruby​​ (1.9.3) Digest::SHA1 << (更新) 演算子を使用することです。[大きなファイル > 1GB]。

残念ながら、Digest::SHA1 と Marshal.dump には互換性がありません

誰もが次の方法についてアイデアを持っていますか?

1. 基になるメモリ (C で操作) へのアクセスを取得し、そのようなオブジェクトを保存/復元しますか?
2. 同様のユースケースを可能にする代替実装を取得しますか?

ありがとう、

パラミーム

更新: gist:2280705は ruby​​ FFI を使用してオプション 1 を実装しています - 他の誰かに役立つことを願っています

文字列または値をバイト配列に変換するにはどうすればよいですか？SOAP認証に必要です。私の要件は次のとおりです-クライアント側では、これはダイジェストを作成する方法です。1.クライアント側ダイジェスト配列=バイト配列ナンス+バイト配列UTF-8文字列のUTC日時+バイト配列UTF-8プレーンテキストパスワード（これらの3つを連結します）。2.クライアント側SHA-1ダイジェスト=SHA-1アルゴリズムを使用したハッシュクライアント側ダイジェストアレイ。3.クライアント側WS-セキュリティダイジェスト=64ビットエンコードクライアント側SHA-1ダイジェスト

Password_Digest = Base64（SHA-1（ナンス+タイムスタンプ+パスワード））

これは、nonce、timestamp、digest_passwordを生成するために使用しているコードです。ユーザーパスワードは文字列です。プロセス全体でいくつかの問題があり、ダイジェストが正常に生成されません。私はこれらのデータ型を正しく持っていると思います。バイト配列とUTF8は私を混乱させます。utf8変換を追加しましたが、違いはありません。

私のアプリケーションにはいくつかのコンポーネントがあり、Origin Verified という意味で安全な通信が必要です。これらのコンポーネントは共通の秘密を共有できません。したがって、非対称鍵暗号化を選択する必要があります。A2つのコンポーネントがあり、BAがデータFを送信し、それが本当に送信されたことを確認する必要があるBと仮定しますBA

A秘密鍵を使用してのダイジェストHを生成するリクエスト パラメータに を添付し、発信元/送信者を送信および宣言する提供された に対してダイジェストを検証するF
AA_pubHFA
BHA_pubF

どうやら問題ないように見えますが、他のコンポーネントVが で同じことを行いV_pub、自分自身を と主張しているA場合でも、これはopensslで作成されBているため、要求が送信されたと考えられます。AHV_prv

この攻撃を防御したいV

ecparam secp112r1キーの長さを最小限に抑えるために使用しています。キーは繰り返し変更されます。

--編集--

A、BおよびV一意のによって識別されるアプリケーション コンポーネントURIです。現在、安全なページ フローを制限することを目的としています。たとえば、 、 、 URL であると想定できます。A私BがV望むのは、 にのみA処理でき、 ... にBのみB進むことができC、そのためのグローバル/アプリケーション全体のセッションを維持したくありません。そのため、状態/セッションなしの方法で渡さBれた特別なパラメーターに基づいて、このリンクの発信元を確認できます。Aまた、より一般的であるほど、他のシナリオでも実装するための再利用性が高くなります。

A_pub信頼できるグローバルストレージにチェックサムを維持することを考えたことがあります。しかし、それはオーバーエンジニアリングではないでしょうか？

私の頭に浮かぶ別の方法は、公開鍵に関する元のURLを照会することです。しかし、私はそれを避けたいです。

ファイルの MD5 16 進数ダイジェストの文字列表現があり、アップロード時に Content-MD5 HTTP ヘッダーを使用するために base64 に変換したいと考えています。以下よりも明確で効率的なメカニズムはありますか?

私は RoR に比較的慣れていないので、Rails が実稼働用に md5 ハッシュを使用する場合と使用しない場合の両方でアセットをコンパイルする理由に興味がありますか?

bundle exec rake assets:clean私はそれから走りますbundle exec rake assets:precompile

私の production.rb ファイル:

私のアプリケーションは、名前にハッシュを含むファイルで動作し、私の場合はそうあるべきです:)

そこで、ここで 2 つの質問があります。

1) コンパイル時に発生するのはなぜですか?

Rails は、本番用に md5 ハッシュを使用する場合と使用しない場合の両方でアセットをコンパイルします

2) これらのファイル (ハッシュなし) の目的は何ですか?

わからないことがあるかもしれないので、どなたか教えてください。

I have a REST API which is secured by digest. I want to download my JSON response, but first I've to authenticate against the rest api. I'm doing my Requests with sendAsynchronousRequest:queue:completionHandler:. But I don't know how to handle the digest authentication. I thought with the delegate method didReceiveAuthenticationChallenge of NSURLConnectionDelegate this should be possible? I've declared in the .h file the NSURLConnectionDelegate and added in the implementation the method. But nothing happens. Any advice how to handle this with "sendAsynchronousRequest:queue:completionHandler:" ?

私の知る限り、ダイジェスト認証では、クライアントは、パスワードとサーバーから提供されたランダムな値を入力値として使用して、不可逆的な計算を実行します。結果は、同じ計算を実行し、クライアントが同じ値に到達した場合にクライアントを認証するサーバーに送信されます。計算は元に戻せないため、盗聴者はパスワードを取得できません。

上記の定義にCryptoJS.HmacSHA256("password", "key") 注意して、Javascriptで情報をdjangoサーバーに送信しましたが、問題は次のとおりです。

同じロジックを使用してサーバーで確認する必要がありますが、djangoはすでにパスワードを独自の形式でハッシュしています（たとえば、を使用しています） pbkdf2_sha256。

AESのようなリバーシブルアルゴリズムを使用する必要がありますか？djangoのハッシュアルゴリズムを解読してクライアント側に同じものを書くことは不可能だと思いますか？