- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
好的,最初的任务是在 2 个能够共享用户 cookie 的“友好”网站中跟踪用户(比方说,我有 example.com,我的 friend 有 mysite.com,他的域也很简单.example.com 这样他就可以在 .example.com 上设置 cookie)。
为了跟踪我们想要设置唯一 cookie 的用户事件,这个 cookie 应该是唯一的并且 32 字节长 (ascii)。从这个角度来看非常简单,可以这样实现:
md5(microtime)
就是这样,但现在我们有了新的约束:
我们应该能够知道究竟是谁设置了 cookie:exmaple.com 引擎或 mysite.com 引擎
32 字节长度仍然是必须的
我们应该能够加密时间戳(当 cookie 发出时)
结果 cookie 值的第一个和最后一个字符应该不同,这样我们就可以根据 cookie 进行 A/B 测试(所以我们总是可以说如果 cookie 的最后一个字符是“> K”,显示这个用户“特征 A”)
鉴于生成的字符串的长度应始终为 32 个或更少的字符,并且数据应加密和解密(当然不是由用户进行)并且字符串对于用户而言应该是唯一的,这使得任务变得相当复杂。
我的想法和问题:
我们应该使用对称 key 加密(解决约束 1 和 3),但在这种情况下,我们如何确保生成的字符串不超过 32 个字符(约束 2)?
考虑到我们需要加密的数据量是:时间戳和微秒(14 字节),站点发布者标志(1 字节)= 总共 15 字节,是否还有其他解决方案
<我的第一个想法是将数据打包成二进制字符串,然后对其进行 base64 编码。结果将是 8 个字符长的 base64 编码字符串:
def encode():
base64( pack('Lv', timestamp, microseconds) )
在开头和结尾添加 site-issuer 标志和字符:
def getCookie():
rand('a'...'Z') + encode() + issuerFlagChar() + rand('a'...'Z')
因此,结果是 11 个字符长,我们很容易满足约束 2。
但问题是:这个算法并不确定,我不确定为数百万网站用户生成的字符串是否是唯一的。
我想知道是否可以为此目的使用 DES 或 AES,但我不确定生成的字符串是否始终满足约束 2(生成的字符串不应超过 32 个 ascii 字符)。
是否有对称 key 算法确保类似“如果您使用 M 字节 key 加密 N 字节,您将得到 Math.Ceil(N*2+1/M) 字节的结果数据长度”?那么最终的长度是可以预测的吗?
最佳答案
抛开您确实应该咨询安全顾问这一事实不谈,您提出的实际问题很容易得到解答:
Is there symmetric key algorithms that ensure something like "if you encrypt N bytes with M-bytes key you will have resulting data length of Math.Ceil(N*2+1/M) bytes"? So the resulting length would be predictable?
是的,有。他们被称为Block Ciphers .
根据定义,每个分组密码都具有密文长度等于明文长度的特性。在实践中,大多数分组密码(包括 DES 和 AES)都有点作弊,因为它们要求明文为 padded to the length of the block。在他们开始加密之前。
换句话说,给定 N
字节的明文和 B
的 block 大小,密文的长度为 B*(Math.ceil (N/B))
字节。
请注意我是如何谈论 block 大小的,它不同于 key 大小。在这种情况下, key 大小实际上无关紧要。
例如,AES uses a block size of 128 bits , 或 16 个字节。这意味着如果您的明文长度在 17 到 32 字节之间,AES 将保证您的密文长度为 32 字节。这与您选择的 key 大小无关,可以是 128、192 或 256 位(16、24 或 32 字节)之一。
关于encryption - 我需要什么类型的加密?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28846702/
我正在尝试用 C 语言编写一个使用 gstreamer 的 GTK+ 应用程序。 GTK+ 需要 gtk_main() 来执行。 gstreamer 需要 g_main_loop_run() 来执行。
我已经使用 apt-get 安装了 opencv。我得到了以下版本的opencv2,它工作正常: rover@rover_pi:/usr/lib/arm-linux-gnueabihf $ pytho
我有一个看起来像这样的 View 层次结构(基于其他答案和 Apple 的使用 UIScrollView 的高级 AutoLayout 指南): ScrollView 所需的2 个步骤是: 为 Scr
我尝试安装 udev。 udev 在 ./configure 期间给我一个错误 --exists: command not found configure: error: pkg-config and
我正在使用 SQLite 3。我有一个表,forums,有 150 行,还有一个表,posts,有大约 440 万行。每个帖子都属于一个论坛。 我想从每个论坛中选择最新帖子的时间戳。如果我使用 SEL
使用 go 和以下包: github.com/julienschmidt/httprouter github.com/shwoodard/jsonapi gopkg.in/mgo.v2/bson
The database仅包含 2 个表: 钱包(100 万行) 事务(1500 万行) CockroachDB 19.2.6 在 3 台 Ubuntu 机器上运行 每个 2vCPU 每个 8GB R
我很难理解为什么在下面的代码中直接调用 std::swap() 会导致编译错误,而使用 std::iter_swap 编译却没有任何错误. 来自 iter_swap() versus swap() -
我有一个非常简单的 SELECT *用 WHERE NOT EXISTS 查询条款。 SELECT * FROM "BMAN_TP3"."TT_SPLDR_55E63A28_59358" SELECT
我试图按部分组织我的 .css 文件,我需要从任何文件访问文件组中的任何类。在 Less 中,我可以毫无问题地创建一个包含所有文件导入的主文件,并且每个文件都导入主文件,但在 Sass 中,我收到一个
Microsoft.AspNet.SignalR.Redis 和 StackExchange.Redis.Extensions.Core 在同一个项目中使用。前者需要StackExchange.Red
这个问题在这里已经有了答案: Updating from Rails 4.0 to 4.1 gives sass-rails railties version conflicts (4 个答案) 关
我们有一些使用 Azure DevOps 发布管道部署到的现场服务器。我们已经使用这些发布管道几个月了,没有出现任何问题。今天,我们在下载该项目的工件时开始出现身份验证错误。 部署组中的节点显示在线,
Tip: instead of creating indexes here, run queries in your code – if you're missing any indexes, you
你能解释一下 Elm 下一个声明中的意思吗? (=>) = (,) 我在 Elm architecture tutorial 的例子中找到了它 最佳答案 这是中缀符号。实际上,这定义了一个函数 (=>
我需要一个 .NET 程序集查看器,它可以显示低级详细信息,例如元数据表内容等。 最佳答案 ildasm 是 IL 反汇编程序,具有低级托管元数据 token 信息。安装 Visual Studio
我有两个列表要在 Excel 中进行比较。这是一个很长的列表,我需要一个 excel 函数或 vba 代码来执行此操作。我已经没有想法了,因此转向你: **Old List** A
Closed. This question does not meet Stack Overflow guidelines。它当前不接受答案。 想要改善这个问题吗?更新问题,以便将其作为on-topi
我正在学习 xml 和 xml 处理。我无法很好地理解命名空间的存在。 我了解到命名空间帮助我们在 xml 中分离相同命名的元素。我们不能通过具有相同名称的属性来区分元素吗?为什么命名空间很重要或需要
我搜索了 Azure 文档、各种社区论坛和 google,但没有找到关于需要在公司防火墙上打开哪些端口以允许 Azure 所有组件(blob、sql、compute、bus、publish)的简洁声明
我是一名优秀的程序员,十分优秀!