- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在学习Java时我了解到字符串是not safe for storing passwords ,因为您无法手动清除与它们关联的内存(您无法确定它们最终会被 gc'ed,interned 字符串可能永远不会被 gc'ed,即使在 gc 之后,您也不能确定物理内存内容是否真的被 gc'ed)擦掉了)。相反,我使用 char 数组,这样我就可以在使用后将它们清零。我尝试在其他语言和平台上搜索类似的做法,但到目前为止我找不到相关信息(通常我看到的只是存储在字符串中的密码的代码示例,没有提及任何安全问题)。
我对浏览器的情况特别感兴趣。我经常使用 jQuery,我通常的方法是将密码字段的值设置为空字符串,然后忘记它:
$(myPasswordField).val("");
但我并不 100% 相信这就足够了。我也不知道用于中间访问的字符串是否安全(例如,当我使用 $.ajax
将密码发送到服务器时)。至于其他语言,通常我看不到提及这个问题(我特别感兴趣的另一种语言是Python)。
我知道尝试建立列表的问题是 controversial ,但由于这涉及一个在很大程度上被忽视的常见安全问题,恕我直言,这是值得的。如果我弄错了,我很乐意仅从 JavaScript(在浏览器中)和 Python 中知道。我也不确定是否要在这里问,在security.SE或在 programmers.SE ,但由于它涉及安全执行任务的实际代码(不是概念问题),我相信这个网站是最好的选择。
注意:在低级语言或明确支持字符作为原始类型的语言中,
答案应该是显而易见的
(编辑:并不是很明显,正如 @Gabe 在下面的回答中所示)。我要求使用那些“一切都是对象”或类似的高级语言,以及那些在幕后执行自动字符串实习的语言(因此您可能会在没有意识到的情况下创建一个安全漏洞,即使您'相当小心)。
更新:根据an answer在一个相关的问题中,即使在Java中使用 char[]
也不能保证是防弹的(或 .NET SecureString ,就此而言),因为 gc 可能会移动数组,因此它的内容可能会即使在清除后仍保留在内存中(SecureString 至少保留在相同的 RAM 地址中,保证清除,但其消费者/生产者仍可能留下痕迹)。
我猜@NiklasB。是的,即使漏洞存在,但被利用的可能性很低,而且防范难度很高,这可能是这个问题大多被忽视的原因。我希望我至少能找到一些有关浏览器问题的引用资料,但到目前为止,谷歌搜索还没有结果(这个场景至少有一个名称吗?)。
最佳答案
.NET 的解决方案是 SecureString
.
A
SecureString
object is similar to aString
object in that it has a text value. However, the value of aSecureString
object is automatically encrypted, can be modified until your application marks it as read-only, and can be deleted from computer memory by either your application or the .NET Framework garbage collector.
请注意,即使对于像 C 这样的低级语言,答案也不像看起来那么明显。现代编译器可以确定您正在写入字符串(将其清零),但从不读取您读出的值,而只是优化清零。为了防止优化失去安全性,Windows提供了SecureZeroMemory
.
关于string - 以不同语言清除内存以确保安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10166986/
至少在某些 ML 系列语言中,您可以定义可以执行模式匹配的记录,例如http://learnyouahaskell.com/making-our-own-types-and-typeclasses -
这可能是其他人已经看到的一个问题,但我正在尝试寻找一种专为(或支持)并发编程而设计的语言,该语言可以在 .net 平台上运行。 我一直在 erlang 中进行辅助开发,以了解该语言,并且喜欢建立一个稳
As it currently stands, this question is not a good fit for our Q&A format. We expect answers to be
我正在寻找一种进程间通信工具,可以在相同或不同系统上运行的语言和/或环境之间使用。例如,它应该允许在 Java、C# 和/或 C++ 组件之间发送信号,并且还应该支持某种排队机制。唯一明显与环境和语言
我有一些以不同语言返回的文本。现在,客户端返回的文本格式为(en-us,又名美国英语): Stuff here to keep. -- Delete Here -- all of this below
问题:我希望在 R 中找到类似 findInterval 的函数,它为输入提供一个标量和一个表示区间起点的向量,并返回标量落入的区间的索引。例如在 R 中: findInterval(x = 2.6,
我是安卓新手。我正在尝试进行简单的登录 Activity ,但当我单击“登录”按钮时出现运行时错误。我认为我没有正确获取数据。我已经检查过,SQLite 中有一个与该 PK 相对应的数据。 日志猫。
大家好,感谢您帮助我。 我用 C# 制作了这个计算器,但遇到了一个问题。 当我添加像 5+5+5 这样的东西时,它给了我正确的结果,但是当我想减去两个以上的数字并且还想除或乘以两个以上的数字时,我没有
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 4 年前。 Improve th
这就是我所拥有的 #include #include void print(int a[], int size); void sort (int a[], int size); v
你好,我正在寻找我哪里做错了? #include #include int main(int argc, char *argv[]) { int account_on_the_ban
嘿,当我开始向数组输入数据时,我的代码崩溃了。该程序应该将数字读入数组,然后将新数字插入数组中,最后按升序排列所有内容。我不确定它出了什么问题。有人有建议吗? 这是我的代码 #include #in
我已经盯着这个问题好几个星期了,但我一无所获!它不起作用,我知道那么多,但我不知道为什么或出了什么问题。我确实知道开发人员针对我突出显示的行吐出了“错误:预期表达式”,但这实际上只是冰山一角。如果有人
我正在编写一个点对点聊天程序。在此程序中,客户端和服务器功能写入一个唯一的文件中。首先我想问一下我程序中的机制是否正确? I fork() two processes, one for client
基本上我需要找到一种方法来发现段落是否以句点 (.) 结束。 此时我已经可以计算给定文本的段落数,但我没有想出任何东西来检查它是否在句点内结束。 任何帮助都会帮助我,谢谢 char ch; FI
我的函数 save_words 接收 Armazena 和大小。 Armazena 是一个包含段落的动态数组,size 是数组的大小。在这个函数中,我想将单词放入其他称为单词的动态数组中。当我运行它时
我有一个结构 struct Human { char *name; struct location *location; int
我正在尝试缩进以下代码的字符串输出,但由于某种原因,我的变量不断从文件中提取,并且具有不同长度的噪声或空间(我不确定)。 这是我的代码: #include #include int main (v
我想让用户选择一个选项。所以我声明了一个名为 Choice 的变量,我希望它输入一个只能是 'M' 的 char 、'C'、'O' 或 'P'。 这是我的代码: char Choice; printf
我正在寻找一种解决方案,将定义和变量的值连接到数组中。我已经尝试过像这样使用 memcpy 但它不起作用: #define ADDRESS {0x00, 0x00, 0x00, 0x00, 0x0
我是一名优秀的程序员,十分优秀!