问题标签 [authenticity]

我正在尝试进行编辑工作，但遇到了这个错误：

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken)

我知道 Rails 现在想要防止伪造，我需要传递一个表单真实性令牌，但我不清楚如何使用 in_place_edit 插件来做到这一点。

我们正在编写一个本机 Windows 应用程序 (MFC)，它将向我们的 Web 应用程序上传一些数据。Windows 应用程序将允许用户登录，然后它会定期将一些数据上传到我们的网络应用程序。将通过简单的 HTTP POST 上传到我们的 Web 应用程序。我担心的是我们如何确保上传实际上来自我们的应用程序，而不是来自 curl 或类似的东西。我想我们正在研究某种公钥/私钥加密。但我不确定我们是否可以以某种方式将公钥嵌入到我们的 win 应用程序可执行文件中并完成它。或者该公钥是否太容易在我们的应用程序之外提取和使用？

无论如何，我们正在构建双方（客户端和服务器），所以几乎任何东西都是一种选择，但它必须通过 HTTP(S) 工作。但是，我们不控制 win（客户端）应用程序的执行环境，而且在他/她的系统上运行应用程序的用户是唯一可以通过游戏系统获得收益的用户。

很抱歉一直问这么多问题，但你们似乎总是那么友善和乐于助人......

我需要做一些从文件中导入数据的应用程序。例如，用户选择一个文件，应用程序将一些数据导入数据库。

但是我一直在想，这种app会导致文件完整性和真实性的问题。如果用户更改文件，则不允许应用程序使用该信息。如果一个文件不是来自众所周知的来源，则应用程序不能使用该文件。

我该怎么做这种事情？

PS：我正在使用 C#.NET

去年夏天，我正在开发一个应用程序，用于测试潜在客户的计算机是否适合集成我们的硬件。建议的概念之一是使用该工具生成的 HTML 报告作为在某些情况下退款的理由。

我的第一反应是，“我们必须签署这些报告以验证其真实性。” 我设想的解决方案包括为报告创建签名，然后将其嵌入到元标记中。不幸的是，这种情况需要应用程序签署报告，这意味着它需要一个私钥。一旦应用程序存储了私钥，我们又回到了第一阶段，无法保证真实性。

我的下一个想法是打电话回家并让服务器签署报告，但随后用户需要互联网连接来测试硬件兼容性。另外，应用程序需要通过服务器进行身份验证，感兴趣的一方可以弄清楚它使用什么凭据来执行此操作。

所以我的问题是这个。除了混淆之外，有什么方法可以验证应用程序确实生成了给定的报告？

我必须用密码保护记录文件的机密性、完整性和真实性。记录的数量可能超过 32^2，并且可以独立访问每条记录。

实现它的一种方法是

1. 生成一个 256 位的随机 salt 并将其存储在文件头中。
2. 使用来自 PKCS #5 的 PBKDF2 和 HMAC-SHA256 从密码和盐生成派生密钥。
3. 为每条记录生成一个 96 位随机初始化向量。
4. 在 GCM 模式下，使用派生密钥、初始化向量和（作为附加的经过身份验证的数据）记录在文件中的位置，使用 AES-256 加密每个记录的内容。
5. 因此，每条记录都将存储一个初始化向量、一个加密内容和一个 MAC。

但是定义 GCM 和 GMAC 的 NIST 特别出版物 SP800-38D要求记录数少于 32^2 才能使初始化向量唯一。

所以我设计了另一种解决方案：使用派生密钥作为密钥，使用 HMAC-SHA256 为每个记录创建一个密钥，并将文件中记录的位置作为要验证的消息（盐）。

所以问题是我是否需要将文件中记录的位置提供给经过身份验证的加密算法作为附加的经过身份验证的数据，因为我在生成密钥时已经处理了它？

此外，我真的需要使用初始化向量吗，因为所有记录都将使用 HMAC-SHA256(PBKDF2(HMAC-SHA256, password, salt, iterationCount, 256), blockAddress) 生成的所谓不同密钥进行加密和身份验证？

我不知道文件的大小，所以我认为它可能非常大。

（我不是母语人士，在术语方面可能不正确。对此感到抱歉。）

我正在通过无线电在 AVR 微控制器之间传输数据以供个人使用，并希望客户证明传输数据的真实性，因为它来自授权客户之一。这意味着我不需要不可否认性，并且能够预定义共享密钥。我对不同的方法进行了一些研究，发现我需要一些帮助来选择最符合我要求的方法。

请理解我不需要最大的安全性。我只是想防止潜在的脚本小孩邻居在几个小时内闯入。如果从今天开始使用普通消费者装备需要几周的时间，我会没事的。

我正在传输的消息的大小相当小（不超过 30 个字节，只有几个字节的有效负载），频率不超过 30 条消息/分钟。

一个用例是运动检测器通过空中向处理单元发送消息，然后处理单元通过空中向电灯开关发送另一条消息。请不要专注于运输。这个问题只是关于数据的真实性。

我在闪存和 RAM 非常有限的 20 MHz AVR 微控制器上运行客户端/服务器软件（C 语言）。因此，我正在寻找一种具有小代码大小和 RAM 利用率的解决方案，同时仍提供高数据速率。

我使用 MD5 实现 (C) 从 20 字节数据创建散列进行了一些性能测试，发现它可能太慢了。我知道 MD5 实现本身并不能解决这个要求。我进行测试只是为了评估散列性能。

感谢您的评论

我想将数据从服务器软件发送到客户端软件，以这样一种方式加密，即只有服务器（私有软件）可以加密该特定数据，但任何客户端都可以解密它。

起初我认为 RSA 将是一个解决方案，但据我了解，我想向后使用它：我可以使用服务器上的公钥加密数据，并使用私钥在客户端上解密。这可以正常工作，除非有人可以从私钥中导出公钥。那是对的吗？如果是这样，是否有其他选择？

提前致谢。

鲍勃创建了一个私钥

然后用

他创建了一个名为 data.txt 的文件，其中包含“hello”纯文本并运行命令

现在他把文件发给了爱丽丝data.txt。和signature.txt文件Public.pem。

爱丽丝如何验证真伪？

提前谢谢

我有一个不应安装在所有手机上的企业应用程序。我有 50 部带有 IMEI 信息的手机，我的应用程序应该只安装在这 50 部手机中。即使他获得了apk，用户也不应该能够安装我的应用程序。

我试过这个：如果我安装了应用程序，那么我可以检查手机的IMEI号码是否是50个中的一个。如果不是50个，我可以阻止他登录。但我想阻止安装在降低风险的首要任务。

我在 worklight 5.0.6 中导入了一个 worklight 5.0.3 项目。在工作灯控制台（工作室测试环境）上部署 wlapps 时，我有应用程序。身份验证设置为已禁用。它不在 5.0.3 版本下

关于 authenticationConfig.xml 文件的两个版本之间是否有任何变化？