問題タブ [pinning]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
swift - Swift AlamoFire での SSL ピンニング
私は初心者ですが、MITM 攻撃の対象となるアプリを持っています。
少し調べてみると、SSL ピン接続を行う必要があるようです。つまり、サーバーの公開鍵/証明書のコピーを保持して、応答がそこからのものかどうかを判断できるようにします。
これを行う方法がわかりません。ネットワークを処理するために Swift で AlamoFire を使用しています。
ssl - HTTP Public-Key-Pinning (HPKP) に関する質問
1. 質問: HTTP Public-Key-Pinning (HPKP)
は本当にセキュリティを向上させますか? MITM (NSA など) は、サーバーへの最初の要求を傍受し、侵害されたCA
によって署名された「偽の」証明書で応答する可能性があります。
したがって、HPKP は、サーバーへの最初の接続が改ざんされておらず、最初に正しいサーバーに接続したことが 100% 確実な場合にのみ、セキュリティを向上させます。
正しい?
2. 質問:ヘッダーには、「バックアップ」証明書として機能する 2 つの異なる証明書
のPublic-Key-Pins少なくとも 2 つのハッシュを含める必要があります。
これは、2 つの異なる CA から 2 つの異なる証明書を購入する必要があるということですか?
それはかなり高価になります。CA は、1 つ購入した場合、同じドメインに対して 2 つの証明書に署名することを提案するべきではありませんか?
セキュリティに代償を払うべきではありません。誰もが安全なサービスを構築できる必要があります。
javascript - D3 力有向グラフでのノードの「固定」
グリッド全体で等間隔にノードを配置する通常の「グリッド」を作成しました。次に、linkDistance をランダム化することで、グリッドを「かき立てる」ことができるので、規則性が低くなります。
すべてのエッジ ポイントが動かないように「固定」したいと思います。フォース レイアウトの影響を受けるのは内側のポイントだけです。
私の洞察では、これは通常の四角形グリッドであるため、重みが 4 未満のポイントは「エッジ」ポイントになるため、固定する必要があります。
ノードとリンクが強制レイアウトに追加された後にのみ重みが計算されると考えているためforEach、配列を強制レイアウトに追加し、重みに基づいてnodes条件付きでプロパティを設定した後、配列を調べています。fixed
次に、nodesプロパティを再適用しstartてシミュレーションを実行します。
ダメ。例では、すべてのポイントを移動します。
android - このアンドロイド SSL ピンニングの実装は正しいですか?このエラーが logcat に表示されるのはなぜですか?
logcat でこのエラーが発生しています。Android アプリケーションに SSL ピンニングを実装しました。このエラーの原因となっている何か間違ったことをしたと思います。
以下は私のssl pinning androidコードです。これは機能しますが、上記のエラーがスローされます。
TrustSelectCertSSLFactory.java コード
関数 getHttpClient を呼び出すコード
SSL ピニングの実装は正しいですか? logcat にこのエラーが表示されるのはなぜですか? 詳細が必要な場合は、コメント欄に記載してください。
私はグーグルで検索しましたが、この問題の解決策ではない解決策を私に与えています。他に探すべきものはありますか?
javascript - Javascriptでブラウザタブを固定する方法は?
ユーザーがタブを閉じても、非侵襲的でプラグインを使用しない方法で通知を受信しないように、ブラウザのタブを固定する必要があります。
Javascriptでそうする方法はありますか?
Google で検索しても結果が得られません。
node.js - Node.js は HPKP を尊重し、証明書のピン留めをサポートしていますか?
Node.js は証明書のピン留めをサポートしていますか? より具体的には、サーバーが最初の接続で HPKP ヘッダーを渡す場合、Node.js はその設定を尊重しますか?
これは、クライアントがサーバーに接続するライブラリ用であることに注意してください。Node の HTTPS サーバーが証明書のピン留めをサポートしているかどうかは気にしません。
また、証明書を手動で検査できることも理解しています。また、すべての接続をチェックするか、要求ライブラリにモンキー パッチを適用するサード パーティ ライブラリがいくつかあることも理解しています。私はその機能についても尋ねていません。
私の計画は、最初に証明書を確認し、一致しない場合は拒否することです。ただし、最初の呼び出しの後に TLS 証明書が変更された場合、それは何の役にも立ちません。
ruby - bundle install の一部としてインストールされた依存性 gem のバージョンを固定またはロックする
Windows のffi Gemのバグを回避しようとしています。インターネットから取得したプロジェクトで実行する必要がありbundle installます。問題は、エラーが発生するffiのバージョン 1.9.9 をインストールしようとしていることです。bundle install
ffi のバージョン1.9.8bundle installをインストールする方法はありますか? おそらく、コマンド ライン パラメーターか、または?への追加です。GemfileGemfile.lock
考えられる複雑さの 1 つは、私が扱っている Gemfile に ffiがまったくリストされていないため、依存関係の依存関係の 1 つによってプルされる必要があることです。