Ruby on rails 从网站提供自解压加密下载_Ruby On Rails_Encryption_Web_Download_Self Extracting

Ruby on rails 从网站提供自解压加密下载

ruby-on-rails encryption web download

Ruby on rails 从网站提供自解压加密下载,ruby-on-rails,encryption,web,download,self-extracting,Ruby On Rails,Encryption,Web,Download,Self Extracting,我正在工作的网站目前为用户提供了一个选项，可以将数据下载到加密的zip文件中。标准的zip文件加密几乎一文不值（我已经读过），所以我想用使用AES加密但仍然具有自解压格式的东西来取代它。这样做有几个问题，我相信以前有人解决过：我不知道用户在什么平台上（Mac、Windows或Linux），所以我不能只制作一个自解压的.exe文件，并假设它可以工作。我想我需要问一下。（我已经在询问密码。）我的网站是在Linux上运行的，我怀疑大多数生成自解压加密的.exe文件的程序都希望在Windows机器上

我正在工作的网站目前为用户提供了一个选项，可以将数据下载到加密的zip文件中。标准的zip文件加密几乎一文不值（我已经读过），所以我想用使用AES加密但仍然具有自解压格式的东西来取代它。这样做有几个问题，我相信以前有人解决过：

我不知道用户在什么平台上（Mac、Windows或Linux），所以我不能只制作一个自解压的.exe文件，并假设它可以工作。我想我需要问一下。（我已经在询问密码。）

我的网站是在Linux上运行的，我怀疑大多数生成自解压加密的.exe文件的程序都希望在Windows机器上运行（以生成.exe）。我想我可以设置一个运行Windows的虚拟机，让我的Linux服务器向该虚拟机发送一个请求（和数据）来生成.exe，但这听起来很复杂

关于ZIP加密是垃圾的争论由来已久（参见）。ZIP加密的主要问题是，尽管它使用128位AES密码，但仍然需要用户提供密码。攻击者已经确定ZIP程序如何从密码生成密钥，因此当用户输入的密码包含低熵（即简单密码）时，就很容易暴力破解密钥并打开文件。如果您分配了一个非常随机的大密码，它被认为是非常安全的。

为什么不通过SSL提供一个未加密的自解压文件？我们一直在问自己同样的问题。事实上，我们已经在使用SSL了。我们试图在数据离开我们的站点后为其提供保护，以帮助用户。然而，我开始认为这实际上可能弊大于利。用户解密的加密文件可能会写入某个临时文件夹中，这可能会破坏整个目的，具体取决于目的是什么。我正试图从客户那里了解这一需求的来源和用途。