2014年06月_ACE1985

11月 10月 06月

翻译【Java编码准则】の＃12不要使用不安全或者强度弱的加密算法

安全性要求高的应用程序必须避免使用不安全的或者强度弱的加密算法，现代计算机的计算能力使得攻击者通过暴力破解可以攻破强度弱的算法。例如，数据加密标准算法DES是极度不安全的，使用类似EFF（Electronic Frontier Foundaton） Deep Crack的计算机在一天内可以暴力破解由DES加密的消息。［不符合安全要求的代码示例］下面的代码使用强度弱的DES

2014-06-21 23:46:44 12998

翻译【Java编码准则】の＃11不要使用Object.equals()来比较密钥值

java.lang.Object.equals()函数默认情况下是不能用来比较组合对象的，例如密钥值。很多Key类没有覆写equals()函数，因此，组合对象的比较必须单独比较里面的各个类型以保证正确性。［不符合安全要求的代码示例］下面的代码使用equals()函数比较两个key值，key值即使具有相同的取值也可能会返回不相等，导致结果出错。 private static b

2014-06-21 23:34:24 1884

翻译【Java编码准则】の＃13使用散列函数保存密码

明文保存密码的程序在很多方面容易造成密码的泄漏。虽然用户输入的密码一般时明文形式，但是应用程序必须保证密码不是以明文形式存储的。限制密码泄漏危险的一个有效的方法是使用散列函数，它使得程序中可以间接的对用户输入的密码和原来的密码进行比较，而不需要保存明文或者对密码进行解密后比较。这个方法使密码泄漏的风险降到最低，同时没有引入其他缺点。［加密散列函数］散列函数产

2014-06-21 23:02:53 2291

翻译【Java编码准则】の＃02不要在客户端存储未加密的敏感信息

当构建CS模式的应用程序时，在客户端侧存储敏感信息（例如用户私要信息）可能导致非授权的信息泄漏。对于Web应用程序来说，最常见的泄漏问题是在客户端使用cookies存放服务器端获取的敏感信息。Cookies是由web服务器创建的，它具有一个指定的有效时间，保存在客户端。当客户端连接上服务器端时，客户端使用cookies中存储的信息向服务器端进行认证，通过后服务器端返回敏感信息。

2014-06-21 22:08:34 2141

翻译【Java编码准则】の＃01限制内存中敏感数据的生命周期

当竞争对手的应用程序与我们的应用程序运行在同一个系统上时，我们的应用程序在内存中的敏感数据是很容易被竞争对手获取的。如果我们的应用程序符合下面几种情况之一，那么竞争对手可以获取到我们应用的敏感数据： 1）应用程序使用对象来存储敏感数据，而且在对象使用完后，对象的内容没有被清除或者对象没有被垃圾回收； 2）在操作系统运行内存管理任务或者执行休眠等功能时，应用程序的内存分页将被置换到磁盘上保存；

2014-06-15 22:09:27 3236

翻译【Android平台中的安全编程】の＃01-限制app的敏感ContentProvider的可访问性

ContentProvider类提供了与其他app管理和共享数据的机制。当与其他app共享provider的数据时，必须小心的实现访问控制，防止对敏感数据的非法访问。限制ContentProvider的访问有三种方法： Public Private Restricted access

2014-06-10 09:07:42 2089

原创【直接拿来用のandroid公共代码模块解析与分享】の Notification和NotificationManager

Android项目做得多了，会发现原来很多基础的东西都是可以复用，这个系列介绍一些自己项目中常用到的公共模块代码（当然只谈技术不谈业务），一来整理好了自己以后可以直接用，二来也分享给大家，希望能稍微减少大家的加班时间，提高些许效率。 Android Notification的原理和作用这里就不作说明了，相信是个android开发者都用过不止一次了，以下只介绍如何封装成公共的模块，以供整个项目使用

2014-06-09 20:46:20 1978