問題タブ [trust]

5 人のユーザー向けにいくつかのカスタム処理を行うクライアント用の Excel アドインを作成しました。VS2012 と Excel 2010 の相互運用アセンブリを使用して作成しました。アドインを MS ワンクリック パブリッシャーで公開し、コンテンツを圧縮して、これら 5 人のユーザーに送信しました。彼らは (一見) アドインを無作為にインストールすることしかできません。成功したユーザーもいれば、エラー メッセージが表示されるユーザーもいます。いくつかの詳細情報:

• 正常にインストールされていないユーザーは、インストールを信頼するように求められることはありません。エラーメッセージが表示されます。
• ローカルの開発証明書だけでコードに署名しました。Verisign 証明書などは使用しませんでした。彼らのローカルファイルシステムがプロンプトに到達することを決して許可していないので、私はそれが何もしないとは思いませんでした。
• 最初に、包含リスト セキュリティ用のレジストリを構成するためのバッチ ファイルを作成しました。これは何もしませんでした。
• ローカル ネットワーク上にあるかどうかに関係なく、他の PC でエラーを再現できませんでした。

私の推測では、ワンクリック インストーラー ファイルへのアクセスを禁止するセキュリティ ポリシーが組み込まれているようです。どのアイデアですか？

エラーメッセージは次のとおりです。

信頼レベルを変更するにはどうすればよいですか?
oledb を使用して C# Windows フォーム アプリを作成していますが、アクセス無効モードがそれを妨げているため、追加クエリを使用できません。

80 を超える他の「信頼できる」ドメインが接続されたドメインがあります。これは、グループの一部が、あるドメインのユーザー、別のドメインのグループなどと相互リンクされていることを意味します。ドメインの 1 つで特定のグループ セットからユーザーのリストを作成するスクリプトを作成しましたが、それらは他のドメインからのものであるため、外部識別子を取得するだけです。これを他のドメインにリンクする必要がありますが、各ドメインの SID が必要です。

Win32 のDsEnumerateDomainTrustsに相当する PHP はありますか? すべての SID を手動で書き出す必要はなく、新しいドメインが追加されたり、古いドメインが削除されたりしたときに、それらを手動で更新し続ける必要はありません。

DMZサーバーでホストされているWebサイト用のカスタム認証プロバイダーを作成しています。このWebサイトは、.NET4.0フレームワークで実行されるKenticoと呼ばれるCMS上に構築されています。Kenticoホスティングサーバーは、DMZActiveDirectoryフォレストにあります。別の内部ActiveDirectoryフォレストがあり、DMZ ADは内部ADと一方向の信頼を持っています（DMZは内部ADを信頼し、内部ADはDMZを信頼しません）。

DMZADユーザーを問題なく認証できます。ただし、内部ADユーザーを認証できる必要もあります。ファイアウォール設定により、内部ADドメインコントローラーへの直接アクセスがブロックされているため、信頼を介して認証要求をDMZADDCに送信する必要があります。

内部ADユーザーを認証しようとすると、認証プロバイダーからDMZ DCに送信されたLDAPクエリが失敗し、「ユーザーが見つかりません」と表示されます。

誰かが以前にこの問題に対処したことがあるかどうか、そしてそれがどのように解決されたか疑問に思います。よろしくお願いします。

現在、Windowsサービスとしてインストールされている.Netアプリケーションが、WindowsServer2008で実行されているApacheTomcat7で実行されているJavaで記述された別のアプリケーションと通信する際に問題が発生しています。

.NETアプリはWindowsサービスとして実行されており、TcpListenerを使用して、ローカルマシンのパーソナルストアからのサーバー証明書（ローカルマシンの適切な証明書ストアにルート証明書と中間証明書が存在する）を使用して保護され、Javaに提示されます。次に、接続を保護するためのクライアント証明書を提供することになっているアプリケーション。

このプロセスで使用されるすべての証明書は、当社のCAから作成され、Javaアプリケーションでは、参照しているキーストアとトラストストアに証明書が追加されています。

Javaアプリケーションが.NETサービスへの接続を開こうとすると、接続が失敗します。

.Netアプリケーションでトレースをオンにしたところ、「リモートサーバーが証明書を提供しなかった」ことが原因であると報告されました。次に、Apache TomcatサービスのSSLデバッグをオンにしました。サーバー（この場合は.Net Windowsサービス）が、マシンにあるすべてのルート証明書を渡すことによってクライアントに証明書を要求する段階に達しているようです。トラストストアですが、私が追加したルート証明書はルート証明書のリストに表示されません。

ローカルマシンのトラストストアで証明書を確認できるので、次に何をすべきかわかりません。Javaアプリケーション内の認証局のリストに自分のルート証明書が表示されないようにするにはどうすればよいですか？

私は多数のユーザー名とパスワードを持っています - すべてのウェブサイト、サービスごとに異なるものです... 情報を追跡するために、RSA-256 暗号化で情報を保存すると主張する iOS アプリを持っています。異なるデバイス間で「ボールト」を同期するオプションがあるため、iPad または iPhone のいずれかを使用して情報にアクセスできます。

本質的に、私は、ソフトウェアが安全であるという彼らの主張が真実であるソフトウェア プロバイダーを「信頼」しています。これは、（1）よく書かれている（偶発的なセキュリティ上の欠陥がない）だけでなく、（2）同期操作中にファイルを傍受またはリダイレクトできる「バックドア」がないことも意味します。 「すべてを持っている」でしょう。

この問題に対処する「最善の」方法があるのだろうか。私はいくつか考えることができます：

• 自分で書いてください。保証 (2)、ただし (1) ではない
• オープンソース プロジェクトを持ち、「コミュニティ」に (1) を手伝ってもらいます。もちろん、悪意のある人物がオープン ソースを使用して、(修正するのではなく) 弱点を見つけて悪用する可能性があります。
• プロバイダーのソフトウェアのサード パーティ認定。第三者を信頼するしかない…

これに対する堅牢な解決策があるかもしれませんが、私にはわかりません。SOには多くの「関連する」質問があるようですが、これに本当に答えたものは見つかりませんでした。

テイカーはいますか？

Web サイトの URL を受け入れ、この URL を既知の悪意のある Web サイトのリストと照合する、自由に利用できる Web サービスまたは API を知っている人はいますか?

Web of Trust (WOT) に似たものをデザインしようと考えていたのですが、参考になりましたか?

安全なログイン システムを構築しており、ユーザーの場所 [IP] を追跡する機能を実装したいと考えています。デバイスに基づいて実行したいのですが、PHP経由でMACアドレスを取得できないようです。アカウントの作成時に、[IP] がログに記録され、信頼済みとして記録されます。ユーザーが別の IP からログインしようとすると、信頼システムは小さな確認キーを電子メールに送信し、ログインを続行する前にキーを入力するように求めます。

データベースの観点からこれを実装するのはどのように最適でしょうか?

私は作成することを考えていました：

表: locationTrust

COLUMNS : [locationTrustID]、[accountID]、[ip]、[date]

VIA PHP を使用して、顧客からの各ログインを保存されている信頼できる IP と比較し、それらを許可するか、キーで有効な場合は新しい IP を追加します。別の方法として、アカウント テーブルに列を追加し、識別子で区切られた 1 つのフィールドに複数の場所を格納することもできます。

これは理にかなっていますか？

ほとんどの開発者 (おそらく大企業を除く) は、自己署名証明書を使用して apk に署名していると思います。これはアプリのインストールに必要なため、アプリに署名する機能は誰でも利用できます。Java SDK から keytool と jarsigner を使用するのはかなり簡単です。ただし、これらの自己署名証明書と関連する秘密鍵は、その証明書を実際に信頼できる人と何らかの方法で照合できない限り、セキュリティの程度を保証するものではありません. これらの自己署名証明書 (CRL なし) を無効にする機能はなく、(ほとんどの場合、証明書は自己署名であるため) 証明書/鍵所有者の身元を何らかの方法で「保証」する「発行者」は存在しません。コードに署名します。

Andriod プラットフォームには、特定の署名で署名されたアプリのインストールを防止する機能がありますか、またはその予定はありますか? または、信頼できる CA (認証局/発行者) のリストによって発行された証明書/キーによって署名されたアプリのインストールのみを許可する設定を有効にするには? ただし、利用可能なセキュリティがいくつかあります。設定/セキュリティでは、デフォルト設定であるPlayストアからのものでない限り、何かのインストールを防ぐことができます（署名されてSIMに手動でコピーされた場合でも）. また、ユーザー証明書をインストールして、その証明書によって署名されたアプリのみをインストールできるようにすることもできます (Play ストアからの場合でも)。

最近、 html5 に DRM を含めるという提案がニュースになっています。DVD 再生ソフトウェアの場合と同様に、キー ストレージ メカニズムが最終的にクラックされることは予測できます。これは、信頼できるクライアントの問題とも呼ばれます。

私の質問は簡単です。特定の実行可能コードのみがデータを復号化できるようにデータを暗号化する方法はありますか?

通常、秘密 (非対称) キーはソフトウェア コードに含まれており、コンテンツの暗号化に使用された対称キー (コンテンツと共に配布される) を復号​​化するために使用されます。これにより、上記の秘密鍵をソフトウェアから抽出してバイパスすることが簡単になります。

ソフトウェア自体の完全性に依存して復号化できるかどうか疑問に思っていました。

既存の暗号化プリミティブを使用した明らかな解決策は見当たりません。実行時にいくつかの内部プログラム状態のハッシュを取得し、それをキー派生関数に渡すことは明らかですが、これは依然としてメモリ検査で失敗します

これはまったく可能ですか？そうでない場合、数学的な証明はありますか？ここで決定的な答えを探しているわけではなく、既存の作業へのポインタを探しているだけです。