問題タブ [digest]

JAXRSClientFactory.create メソッドを使用して、次のようなプロキシを作成します。

このコードは問題なく動作します。

その後、このサービスを別の資格情報で使用する必要があり、次のような別の資格情報で同じサービスを作成しようとします。

このコードは機能しますが、間違った資格情報 (最初のサービスからの資格情報) で機能します。それを変更する方法が見つかりませんでした（リセット、クリア、またはこのようなもの）。

そしてもう 1 つ、この問題はダイジェスト認証のみで発生します。基本的にはうまく機能します。

誰でもこの問題で私を助けてくれますか?

ありがとう。

「アジャイルWeb開発とレール」という本のチュートリアルをたどっていますが、次のコードが見つかりました。

Digestソースコード（digest.rbおよびrubyインストールdigest/sha2.rbのディレクトリ内）を調べると、メソッドが定義されlibている場所が見つからないようですが、コードは正常に機能しているようです。hexdigest

誰かがこれがどのように起こるかを私に教えてもらえますか？どういうわけか次のようなコードを探す必要があると思います。

SIP ダイジェスト認証を実装しています。これがサーバーからの 401 応答です。

RFC 2617によると、ダイジェスト応答を作成するコードは次のようになります (Groovy の場合)

なんらかの理由で、期待した値とは異なる値が返されます (自分のアカウントで機能するはずの定義済みの値を知っています。SIP Communicator アプリケーションのトラフィック スニッフィングを実行しました)。DigestUtils タイプは Apache Codec に由来します。何か案は？

ダイジェスト認証は、チャレンジ/レスポンス メカニズムのフレーバーのように見えます。クライアントとサーバーの両方によってパスワード (MD5 など) と混合されるランダムな文字列があり、そのような混合の結果のみがネットワーク経由で送信されます。

通常、チャレンジ ("ノンス") はサーバーによって選択され、クライアントに送信されます。ダイジェスト認証に関するウィキペディアの記事には、サンプルの「セッション」がリストされています。チャレンジ (「ノンス」) は、サーバーによって選択されます。私は自分のマシンの IIS で同じことをテストしました - 繰り返しますが、課題は IIS によって生成されます。

しかし、このような一部の投稿では、チャレンジはクライアントによって生成されます。クライアントはランダムな文字列を生成し、チャレンジとパスワードの積とそのチャレンジを含むリクエストを送信します。

後者は許可され、広く受け入れられていますか? クライアントはチャレンジ (「ノンス」) を選択できますか?

javaを使用してAPI（ http://zootool.com/api/docs/add ）を介してzootoolページにページを追加しようとしています。このために、ダイジェスト認証を使用する必要があります。

ページの取得を承認するためのphpの例を示します。

しかし、これはJavaでページを追加するためにどのように行われますか？検索したところ、apache commons HttpClientが役立つ可能性があることがわかりましたが、頭を包み込むことができないようです。

私は試した：

（api-manualに記載されているように）パスワードをsh1-hashしようとしましたが、うまくいきませんでした。私のコードは、対応すべき課題を見つけることができないようです。

APIキー、ユーザー名、パスワードは正しいです。

更新プリエンプティブダイジェスト認証を使用する必要があることは比較的確信していますが、apacheによる回避策を試してみると、401と「認証エラー：ダイジェスト認証のチャレンジが必要ですが見つかりません」-Javaからの警告が表示されます。私が使用するコードは次のとおりです。

DigestSchemeパラメーターに意味のある値を指定する必要がありますか？私も正しい方向に進んでいますか？

/アンドレ

「平文で」公開される 3 つのフィールドがあり、これらのフィールドにデジタル署名して、安全なハッシュ関数を使用して改ざんされていないことを確認したい場合。2 つのオプションがあります。

1. 3 つのフィールドを連結し、ダイジェストを使用して全体を 1 つの文字列としてハッシュすることができます。つまり、hash(field1 + field2 + field3 + salt)
2. 個々の結果を繰り返しハッシュできます。つまり、hash(field1 + hash(field2 + hash(field3 + salt)))

明らかに、アプローチ 1 はアプローチ 2 よりも高速ですが、アプローチ 2 は、さまざまな出力からの入力をリバース エンジニアリングすることによってソルトの値を発見することを防ぐという点で「より強力」になります (私はそう信じていますが、追加の CPU コストの価値がある)?

Ruby で長い文字列から衝突しない短い文字列を作成しようとしています。これを行う最善の方法は何ですか？Base64はMD5ハッシュをエンコードしますか?

これは使用例です:

キーを長くしたくありません。

状況

C＃プロジェクトでBouncyCastleAPIを使用しています。Stringを使用してハッシュする必要がありますOrg.BouncyCastle.Crypto

私のサンプル

その結果、私は次のようなハッシュを取得しましたXasdDdflk7ghXi8azuhe==

質問

1. 別のメッセージの最後に常に「==」が表示されます。正常ですか？
2. byte[]からString使用に変換しようとしましSystem.Text.ASCIIEncoding.ASCII.GetString()たが、「！？...」のような記号が表示されます。最後に「==」を使用しないようにします。私は何をすべきか ？エンコーダーを変更しますか？

そこで、RESTAPIにダイジェストHTTP認証を使用することにしました。私はそれをグーグルで検索し、それを行う方法の例を含むPHPマニュアルのエントリを見つけました。そのため、スクリプトをコピーしてサーバーのindex.phpに配置し、ブラウザーでページを開きます。クレデンシャルを入力した後、ブラウザーは再度クレデンシャルを要求し、クレデンシャルを入力する無限ループに陥ります。スクリプトは以下に含まれており、ここにあります。

例7ダイジェストHTTP認証の例

基本認証も試しましたが、それは完璧に機能しました。

例6基本HTTP認証の例

$_SERVER['PHP_AUTH_DIGEST']いつも空っぽのようです。

スクリプトに何か問題がありますか、それとも私の環境がファンキーですか？もしそうなら、どうすれば修正できますか？

編集：スクリプトに問題はありません。障害はサーバーにあります。何が原因であるかを誰かが知っているなら、私に知らせてください。

これらのアルゴリズムは常に改善されており、新しいエクスプロイトが発見され、新しい問題が常に発生しているため、これについてグーグルで検索すると、答えに少し矛盾します...使用するアルゴリズムに関する多くのアドバイスは単に古いものです、または最良の方法であった古い時代からのアイデアを保持します。

ここではっきりさせておきたいのですが、私はパスワードについて話しているのではありません。暗号化ハッシュではなく、メッセージ ダイジェストについて話しているのです。

先に進んで、md5 をメッセージ ダイジェストの最初のヒントとして使用することもできましたが (その名前は正しいです)、最近のアルゴリズムよりも多くの衝突があることを思い出しました。しかし、これらの新しいアルゴリズムが、ファイルや短い文字列のメッセージ ダイジェストにより適している理由は何でしょうか?

それが私の質問です。使用すべき最新のメッセージ ダイジェスト アルゴリズムは何ですか?