問題タブ [secret-key]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - アマゾンウェブサービスで秘密鍵を秘密にする
私は個人的なプロジェクトでアマゾンウェブサービスを使って遊んでいます。AWS SDK for .NETを入手して使用していますが、少し混乱しています。
Webサービス(この場合、SimpleDBですが、これは質問にとって重要ではないと思います)へのアクセスは、秘密鍵と公開鍵のペアを介して許可されます。
クライアントオブジェクトの作成に使用されるAWSSDKfor .NET APIには、秘密鍵が必要です。
/li>これはクライアントアプリケーションであるため、コードは完全にクライアント上で実行されます。
SimpleDBにアクセスするには、クライアントが私の秘密鍵にアクセスできる必要があることを示唆しています。しかし、amazonは、私の秘密鍵が私の制御を離れてはならないことを繰り返し強調しています。
これは私には意味がないので、何かが足りないに違いないと思います。
クライアントサイドアプリケーションは、AWS SDK for .NETを使用するために、一般的にアマゾンウェブサービスの間違ったモデルですか、それともクライアントアプリケーションを完全に合理的にする何かが欠けていますか?クライアントを認証してリクエストをSimpleDBに転送する独自のプロキシサービスを作成せずにこれを回避する良い方法はありますか?
iphone - iPhone アクセス用のアプリ エンジン シークレット キー
iPhone アプリだけがデータの送受信にアプリ エンジン アプリケーションを使用できるようにするにはどうすればよいですか? おそらく秘密鍵を使用する必要がありますが、方法がわかりません。post/get を使用して静的キーを https 経由で送信できますか? または、動的な秘密鍵アルゴリズムを使用する必要がありますか?
どんな助けでも大歓迎です!ビョルン
javascript - 秘密鍵などの JavaScript 隠蔽コード
私は Ribbit JavaScript API を使用しており、Ribit.init 関数を使用してコード ブロックに設定されている秘密キーとすべてのアプリケーション設定を表示しない方法を見つけようとしています。
Ribbit.init("consumerKey");
apache - どのワンタイムパスワードデバイスがmod_authn_otpと互換性がありますか?
mod_authn_otpは、RFC4226で定義されているHOTP/ OATHアルゴリズムを介して生成されたワンタイムパスワード(OTP)を使用した2要素認証用のApache Webサーバーモジュールです。開発者は、互換性のあるデバイス(AuthenexのA-Key 3600)を1つだけリストしています。 Webサイト。デバイスが標準に完全に準拠していて、トークンIDを回復できる場合は、機能するはずです。ただし、テストを行わないと、デバイスが完全に準拠しているかどうかを判断するのは困難です。
mod_authn_otp(または他のオープンソースサーバー側OTPプログラム)を使用して他のデバイス(ソフトウェアまたはハードウェア)を試したことはありますか?はいの場合、あなたの経験を共有してください:)
iphone - iPhone のソースとプロジェクトのリソースに秘密鍵を保存する
秘密鍵 (内部使用パスワードなど) を iPhone のソース コードやプロジェクト リソース (plist ファイルなど) に保存することは安全ですか?
明らかに、100% 安全なものはありませんが、インストールされたアプリからこの情報を簡単に抽出できるでしょうか?
これらのキーをソース コードで使用するには、どのように保存することをお勧めしますか?
念のため、この質問はユーザー パスワードの保存に関するものではありません。
security - APIキーとシークレットキーはどのように機能しますか?APIと秘密鍵を別のアプリケーションに渡す必要がある場合は安全ですか?
APIキーとシークレットキーがどのように機能するかについて考え始めたところです。ちょうど2日前にAmazonS3にサインアップし、S3Foxプラグインをインストールしました。アクセスキーとシークレットアクセスキーの両方を要求されましたが、どちらもアクセスするにはログインする必要があります。
だから私は、彼らが私の秘密鍵を私に求めているのなら、彼らはそれをどこかに保管しているに違いないのだろうか?それは基本的に、クレジットカード番号やパスワードを尋ねて自分のデータベースに保存するのと同じことではありませんか?
シークレットキーとAPIキーはどのように機能するはずですか?彼らはどれほど秘密にする必要がありますか?秘密鍵を使用するこれらのアプリケーションは、それを何らかの形で保存していますか?
encryption - CryptoAPI でキーをエクスポートする際の BAD_UID エラー
Microsoft CryptoAPI のテスト アプリケーションを作成しています。2 番目のパーティの公開鍵を使用して一方のパーティの秘密鍵をエクスポートし、その秘密鍵を 2 番目のパーティの秘密鍵としてインポートします (これにより、通信用の共有秘密鍵が設定されます)。これが私のコードです:
そして、これはエラーを与えます:
公開鍵ペアは、次の呼び出しによって、encryptT と decryptT (送信者、受信者) の両方に対して生成されます。
エラーの原因は何ですか?
ありがとう、
plugins - プラグインの OAuth コンシューマ キー
ソースコードと一緒に/ソースコードとして配布されるプラグイン (Delicious や Twitter にアクセスする Wordpress プラグインなど) で OAuth の消費者秘密鍵を処理する最良の方法は何ですか? OAuth がこれを念頭に置いて設計されていないことは承知しており、それを解決するための提案がありますが、現時点でのベスト プラクティスは何ですか?
これには2つのアプローチがあるようです:
- コンシューマー シークレットをソース コードに入れ (少し難読化することもできます)、誰もそれを悪用してアプリが禁止されないようにします。誰かがそうした場合は、新しいキーをリクエストして、ソフトウェアの更新を発行してください。これは、現時点で Twitter が推奨するものです。
- 各自のコンシューマ キーを取得するよう全員に伝えます。これは、プラグインのインストール方法を知っているだけの非開発者を混乱させ、ソフトウェアの素早い試用を妨げる可能性があります。
2 番目のステップを自動化するのに役立つプロバイダーはありますか? サーバーがプロバイダーに連絡して、何らかの方法でアプリにリンクされているが、まだ一意の新しいコンシューマー シークレットを生成できるようにするには? または、実行可能な他のアプローチはありますか?
git - Making a Git project open source when you have secret keys
I have a project on GitHub behind a private repository. I want to make the repo public. However, my project uses secret keys.
How can I make the project public while still protecting the "history" of those secret keys? I'm guessing I'm SOL, and should simply invalidate the keys to prevent their use.
Note that this is not the same question as How to open-source an application that uses API keys
or
How to handle 'open-sourcing' your application, when it uses a personal API key?
As my project is already on Git, the entire source history can be easily viewed. What I suppose I could do is branch off a separate project with the API keys hidden, and make that repo public. But then users would miss out on the entire branching history, which they may be curious about (I know I would).