问题标签 [trust]

我为一个为 5 个用户做一些自定义事情的客户端编写了一个 Excel 插件。我用 VS2012 和 Excel 2010 的互操作程序集编写了它。我用 MS 一键发布器发布了加载项，压缩了内容，并将其发送给这 5 个用户。他们（似乎）只能随机安装加载项。一些用户成功了，而另一些用户则收到错误消息。更多信息：

• 永远不会提示未成功安装的用户信任安装。它使他们正确地看到错误消息。
• 我只用本地开发证书签署了代码。我没有使用威瑞信证书或类似的东西。我没想到它会做任何事情，因为他们的本地文件系统永远不允许它到达提示符。
• 首先，我制作了一个批处理文件来配置注册表的包含列表安全性。这什么也没做。
• 我无法在任何其他 PC 上复制该错误，无论它是否在我的本地网络上。

我的猜测是，他们的安全策略中有一些内容禁止访问这些一键式安装程序文件。有什么想法吗？

这是错误消息：

如何更改信任级别？
我用 oledb 编写 c# windows 窗体应用程序并且不能使用附加查询，因为访问禁用模式会阻止这种情况。

我们有一个附加了 80 多个其他“受信任”域的域。这意味着我们的一些组是交叉链接的，与来自一个域的用户，在另一个域的组中，等等。我编写了一个脚本，它从一个域上的一组特定组创建用户列表，但有些他们来自其他域，所以我只得到了外国标识符。我需要将此链接到其他域，但我需要每个域的 SID。

是否有与 Win32 的DsEnumerateDomainTrusts等效的 PHP ？我不想手动写出所有 SID，然后在添加新域或删除旧域时手动更新它们。

我们正在为托管在我们的 DMZ 服务器上的网站编写自定义身份验证提供程序。该网站建立在名为 Kentico 的 CMS 之上，该 CMS 在 .NET 4.0 框架上运行。Kentico 托管服务器位于 DMZ Active Directory 林中。还有另一个内部 Active Directory 林，DMZ AD 与内部 AD 具有单向信任（DMZ 信任内部 AD，内部 AD 不信任 DMZ）。

我们可以毫无问题地验证 DMZ AD 用户。但我们还需要能够对内部 AD 用户进行身份验证。防火墙设置阻止了对内部 AD 域控制器的直接访问，因此我们需要通过信任向 DMZ AD DC 发送身份验证请求。

尝试对内部 AD 用户进行身份验证时 - 身份验证提供程序向 DMZ DC 发送的 LDAP 查询失败并显示“未找到用户”。

想知道是否有人以前处理过这个问题以及它是如何解决的。预先感谢您的回复。

我目前在将 .Net 应用程序安装为 Windows 服务时遇到问题，该应用程序与在 Windows Server 2008 上运行的 Apache Tomcat 7 中运行的另一个用 Java 编写的应用程序通信。

.NET 应用程序作为 Windows 服务运行，并使用 TcpListener 和来自本地计算机个人存储的服务器证书进行保护（根证书和中间证书存在于本地计算机的适当证书存储中），它提供给 Java然后应该提供客户端证书以保护连接的应用程序。

此过程中使用的所有证书都是从我们公司的 CA 创建的，Java 应用程序将证书添加到它所引用的密钥库和信任库中。

当 Java 应用程序尝试打开与 .NET 服务的连接时，连接失败。

我们在 .Net 应用程序中打开了跟踪，它报告这是由于“远程服务器未提供证书。”。然后我们为 Apache Tomcat 服务打开 SSL 调试，它似乎进入了服务器（在本例中为 .Net Windows 服务）通过传递机器中的所有根证书从客户端请求证书的阶段信任存储，但是我添加的根证书没有出现在根证书列表中。

我可以在本地机器信任存储中看到证书，所以我不确定下一步该做什么。什么会阻止我们自己的根证书出现在 Java 应用程序的证书颁发机构列表中？

我有大量的用户名和密码——每个网站、服务都有一个不同的用户名和密码……为了跟踪信息，我有一个声称使用 RSA-256 加密存储信息的 iOS 应用程序；它可以选择在不同设备之间同步“保险库”，因此我可以使用 iPad 或 iPhone 来访问信息。

从本质上讲，我“相信”软件提供商，他们声称他们的软件是安全的是真的。这不仅意味着（1）它写得很好（没有意外的安全漏洞），而且（2）没有“后门”允许他们在同步操作期间拦截或重定向我的文件 - 如果他们这样做了，他们将“拥有一切”。

我想知道是否有解决此问题的“最佳”方法。我能想到几个：

• 自己写。保证 (2)，但不是 (1)
• 有一个开源项目，让“社区”帮助（1）。当然，恶意的人可能会使用开源来发现和利用（而不是修复）弱点
• 供应商软件的第三方认证。现在你必须相信第三方......

对此可能有一个强大的解决方案 - 但我不知道。SO上似乎存在许多“相关”问题，但我找不到真正回答这个问题的问题。

有接盘侠吗？

Does anyone know of any freely available web services or APIs which accept a website URL and check this URL against a list of known malicious websites?

I was thinking of designing something similar to Web of Trust (WOT) to give you an idea?

我正在构建一个安全的登录系统，并希望实现一个跟踪用户位置 [IP] 的功能。我宁愿根据设备来做，但显然我无法通过 PHP 获取 MAC 地址。在创建帐户时，[IP] 会被记录并注明为受信任。如果用户尝试从不同的 IP 登录，信任系统将向他们的电子邮件发送一个小的验证密钥，并要求他们在继续登录之前输入密钥。

从数据库的角度来看，实现这一点有多好？

我在想我会创造：

表：位置信任

列：[locationTrustID]、[accountID]、[ip]、[date]

VIA PHP 然后，我会将客户的每次登录与存储的受信任 IP 进行比较，如果它们对密钥有效，则让它们进入或添加一个新的。或者，我可以在帐户表中添加一列，并将多个位置存储在一个由标识符分隔的字段中。

这有意义吗？

我收集到大多数开发人员（可能除了大公司）都使用自签名证书来签署他们的 apk。由于这是安装应用程序所必需的，因此任何人都可以为您的应用程序签名。使用 Java SDK 中的 keytool 和 jarsigner 相当简单。然而，这些自签名证书和相关的私钥并不能保证任何程度的安全性，除非您能以某种方式将该证书与您真正信任的人相匹配。无法撤销这些自签名证书（无 CRL），也没有“颁发者”（因为证书几乎总是自签名）以某种方式“担保”证书/密钥持有者的身份签署代码。

那么，Andriod 平台是否有或计划有任何能力来阻止安装带有特定签名的应用程序？或启用仅允许安装由受信任的 CA（证书颁发机构/颁发者）列表颁发的证书/密钥签名的应用程序的设置？但是，有一些可用的安全性：在设置/安全性中，您可以阻止安装任何东西（甚至是签名并手动复制到您的 SIM 卡），除非它来自 Play 商店，这是默认设置。此外，您可能能够安装用户证书，并且只允许安装由该证书签名的应用程序（即使来自 Play 商店？）。

在 html5 中包含 DRM的提议最近成为新闻。可以预见的是，密钥存储机制最终会被破解，就像在dvd播放软件上一样。这也称为可信客户端问题

我的问题很简单：有没有办法加密数据，只有特定的可执行代码才能解密它？

通常，私有（非对称）密钥包含在软件代码中，用于解密用于加密内容的对称密钥（与内容一起分发）。这使得从软件中提取所述私钥并绕过它变得微不足道。

我想知道是否有可能解密取决于软件本身的完整性。

对于现有的加密原语，我看不到任何明显的解决方案。最明显的一个是在运行时获取一些内部程序状态的散列，并将其传递给密钥派生函数，但这仍然会在内存检查中失败

这可能吗？如果不是，有数学证明吗？我不是在这里寻找明确的答案，只是指向现有工作的指针。