Java的深度:通过协方差暴露的API泄漏

最新推荐文章于 2024-02-09 14:59:05 发布
最新推荐文章于 2024-02-09 14:59:05 发布
阅读量142 收藏
点赞数
文章标签: java sql 接口 设计模式 sap
Java有时可能非常棘手,特别是在API设计中。 让我们看一个非常有趣的展示柜。 jOOQ强烈地将API与实现分开。 所有API都在org.jooq包中,并且是公共的。 大多数实现都在org.jooq.impl包和package-private中。 只有工厂和一些专用的基础实现是公开的。 这允许非常强大的包级封装,几乎只向jOOQ用户公开接口。

包级封装的简化示例

大致来说,jOOQ如何建模SQL表。 (过于简化的)API: 

package org.jooq;

/**
 * A table in a database
 */
public interface Table {

  /**
   * Join two tables
   */
  Table join(Table table);
}

还有两个(过于简化的)实现类: 

package org.jooq.impl;

import org.jooq.Table;

/**
 * Base implementation
 */
abstract class AbstractTable implements Table {

  @Override
  public Table join(Table table) {
    return null;
  }
}

/**
 * Custom implementation, publicly exposed to client code
 */
public class CustomTable extends AbstractTable {
}

内部API的公开方式

假设内部API在协方差方面有一些技巧: 

abstract class AbstractTable implements Table, InteralStuff {

  // Note, this method returns AbstractTable, as it might
  // prove to be convenient to expose some internal API
  // facts within the internal API itself
  @Override
  public AbstractTable join(Table table) {
    return null;
  }

  /**
   * Some internal API method, also package private
   */
  void doThings() {}
  void doMoreThings() {

    // Use the internal API
    join(this).doThings();
  }
}

乍一看,这看起来很安全,是吗? AbstractTable是包私有的,但是CustomTable对其进行了扩展并继承了其所有API,包括“ AbstractTable join(Table)”的协变方法重写。 这会导致什么? 查看以下客户代码 

package org.jooq.test;

import org.jooq.Table;
import org.jooq.impl.CustomTable;

public class Test {
  public static void main(String[] args) {
    Table joined = new CustomTable();

    // This works, no knowledge of AbstractTable exposed to the compiler
    Table table1 = new CustomTable();
    Table join1 = table1.join(joined);

    // This works, even if join exposes AbstractTable
    CustomTable table2 = new CustomTable();
    Table join2 = table2.join(joined);

    // This doesn't work. The type AbstractTable is not visible
    Table join3 = table2.join(joined).join(joined);
    //            ^^^^^^^^^^^^^^^^^^^ This cannot be dereferenced

    // ... so hide these implementation details again
    // The API flaw can be circumvented with casting
    Table join4 = ((Table) table2.join(joined)).join(joined);
  }
}

结论

篡改类层次结构中的可见性可能很危险。 注意以下事实:在接口中声明的API方法始终是公共的,而不管涉及非公共工件的任何协变实现。 如果API设计人员无法正确处理API用户,这可能会很烦人。

在下一版的jOOQ中已修复

参考: Java的深度:JAVA,SQL和JOOQ博客中 JCG合作伙伴 Lukas Eder 通过协方差暴露了API泄漏


翻译自: https://www.javacodegeeks.com/2012/05/depths-of-java-api-leak-exposed-through.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 实现协方差_Java集合协方差问题
weixin_42320036的博客
12-24 169
可以说我们有一个包含此类的程序:public interface AbstractItem {}public SharpItem implements AbstractItem {}public BluntItem implements AbstractItem {}public interface AbstractToolbox {//well the problem starts here.....
java 实现协方差_Java Language
weixin_31999597的博客
12-24 180
例对象数组是协变的,这意味着就像Integer是Number的子类一样, Integer[]是Number[]的子类。这可能看起来很直观,但可能导致令人惊讶的行为:Integer[] integerArray = {1, 2, 3};Number[] numberArray = integerArray; // validNumber firstElement = numberArray[0];...
api接口暴露
qq_43267350的博客
05-17 637
接口检测是否正常,可以使用测试工具 postman insomnia 注意! express中一个路由 即 一个接口 api暴露接口有两种方法 一.使用模板进行暴露,但要将数据做字符串转化,然后使用ejs的非转义输出 router.get('/',function(req,res,next){ res.render('main'{ //main 路由 ...
java 协方差_Java 计算双数组的协方差
weixin_39557583的博客
02-24 193
//package com.nowjava;public class Main {//n o w j a v a . c o m - 时 代 Java 提 供public static void main(String[] argv) throws Exception {double[] v1 = new double[] { 34.45, 35.45, 36.67, 37.78, 37...
API安全漏洞:由于API安全控制不足,使敏感数据暴露
图幻未来的博客
02-09 696
近年来,随着移动互联网和云服务的快速发展, API(应用程序编程接口)成为了各个行业和领域实现系统互操作和数据共享的关键技术之一。然而,伴随着API技术的广泛应用和安全威胁的不断升级,API安全漏洞问题也逐渐浮出水面并引起了人们的广泛关注和研究探讨。本文将重点针对API安全控制的不足导致的数据泄露问题进行剖析并提出相应的解决策略与措施以保障API的安全可靠运行。
covar:计算协方差矩阵的收缩估计
05-03
covar :收缩协方差估计 该Python软件包包含一个函数cov_shrink ,该函数为协方差矩阵实现了插件收缩估算器。 估计量由,在此称为“目标D :(对角线,不等方差)”。 有关更多详细信息,请参见。 安装 pip ...
深度解析:如何在SPSS中进行协方差分析
最新发布
07-18
### 深度解析:如何在SPSS中进行协方差分析 #### 一、引言 SPSS(Statistical Package for the Social Sciences)作为一款广泛应用于社会科学研究及其他领域的统计分析软件,以其用户友好的界面、强大的统计功能、...
MWCDcode:最小协方差加权估计器的计算
04-17
MWCD代码版本1.0 最小加权协方差行列式(MWCD)估计量的计算Matlab中的代码允许计算Roelant(2009)提出的最小加权协方差决定子(MWCD)估计量。 这是具有(可能)高故障点的多元数据集参数的可靠估计。 随时使用或...
在黎曼流形上流动:通过移位协方差进行域自适应
05-18
在黎曼流形上流动:通过移位协方差进行域自适应
使用协方差方法估计语音参数:使用协方差方法估计语音参数-matlab开发
06-01
本教程主要探讨如何使用协方差方法来估计语音参数,并在MATLAB环境下进行实践操作。协方差方法是一种统计方法,它利用了数据集中的变量之间的线性关系来估计参数。 一、语音信号的基本概念 语音信号是连续的非平稳...
java 实现协方差_演示Java中的协方差和逆方差?
weixin_42298727的博客
12-24 354
小编典典协方差:class Super {Object getSomething(){}}class Sub extends Super {String getSomething() {}}Sub#getSomething是协变的,因为它返回Super#getSomething的返回类型的子类(但完全填充了Super.getSomething()的协定)逆差class Super{void doS...
API暴露过多信息:API返回的信息过多,可能泄露系统内部结构
图幻未来的博客
01-13 486
API 暴露过多信息的安全问题近年来,随着互联网技术的飞速发展, API 已经成为了软件开发中不可或缺的一部分。API 可以简化软件之间的交互方式、提高开发效率以及促进不同平台间的数据交换和共享等好处得到了广泛的应用和推广。然而,API 的过度使用和不当设计也会引发一些安全问题——API 返回过多的敏感信息和参数可能导致攻击者获取到系统的内部结构和机密性内容,从而造成潜在的风险和安全威胁。本文将从以下几个方面来分析 API 暴露过多信息的危害以及如何有效地解决这一问题。
java 实现协方差,Java协方差
weixin_33203970的博客
12-24 183
I'm having a hard time trying to figure this out. Say I have the following code:class Animal { }class Mammal extends Animal { }class Giraffe extends Mammal { }...public static List extends Mammal> ...
java 计算协方差矩阵_MUSIC算法推导及代码实现
weixin_26821003的博客
03-05 1000
简介MUSIC (Multiple Signal Classification)算法,即多信号分类算法,由Schmidt等人于1979年提出。MUSIC算法是一种基于子空间分解的算法,它利用信号子空间和噪声子空间的正交性,构建空间谱函数,通过谱峰搜索,估计信号的参数。对于声源定位来说,需要估计信号的DOA。MUSIC算法对DOA的估计有很高的分辨率,且对麦克风阵列的形状没有特殊要求,因此应用十分广...
java opencv calcCovarMatrix 计算协方差矩阵
datouniao1的博客
02-08 669
在opencv的Core中有一个函数是计算协方差矩阵,这个函数为:calcCovarMatrix 在这里我们就来简单的介绍一些协方差矩阵方差 方差是各个数据与平均数之差的平方的平均数。在概率论和数理统计中,方差(英文Variance)用来度量随机变量和其数学期望(即均值)之间的偏离程度 我们首先看看方差,对于单个向量,我们称为是方差。比如一个n维的向量其中方差我们应该: 标准差 :方差开根号 对于两个向量:还有一个概念,协方差 协方差 :在概率论和统计学中,协方差用于衡量两个变量的总体误差...
java 实现协方差_二维数组计算协方差java
weixin_39800331的博客
12-24 415
/*** 数据封装二维数组并调用计算两个二维数组协方差的方法*/@Overridepublic double[][] selectCovariance(int i) {double[][] allList1 = new double[45][];double[][] allList2 = new double[45][];//======================时间计算======...
java 协方差矩阵_浅谈协方差矩阵
weixin_35794185的博客
02-13 172
三、协方差矩阵前面提到的猥琐和受欢迎的问题是典型的二维问题,而协方差也只能处理二维问题,那维数多了自然就需要计算多个协方差,比如n维的数据集就需要计算个协方差,那自然而然我们会想到使用矩阵来组织这些数据。给出协方差矩阵的定义:这个定义还是很容易理解的,我们可以举一个三维的例子,假设数据集有三个维度,则协方差矩阵为:可见,协方差矩阵是一个对称的矩阵,而且对角线是各个维度的方差。四、Matlab协方差...
java 计算协方差矩阵,如何计算协方差协方差矩阵 、 相关系数 、 马氏距离...
weixin_42307290的博客
03-20 652
1. 协方差cov(x,y)=EXY-EX*EY协方差的定义,EX为随机变量X的数学期望,同理,EXY是XY的数学期望,挺麻烦的,建议你看一下概率论cov(x,y)=EXY-EX*EY协方差的定义,EX为随机变量X的数学期望,同理,EXY是XY的数学期望,挺麻烦的,建议你看一下概率论举例:Xi 1.1 1.9 3Yi 5.0 10.4 14.6E(X) = (1.1+1.9+3)/3=2E(Y) ...
USPTO API漏洞导致长达数年的数据泄露
kafankeji的博客
07-04 65
通知称:“进一步调查显示,找到的大数据产品中也出现了相同的住所地址。无论如何,该办公室表示已迅速采取行动解决这一问题,包括阻止对非关键api的访问,并删除受影响的批量数据产品。Rago说:“在API优先的应用程序世界中,组织经常公开多个API,这些API可以访问相同的数据集,但服务于不同的目的。该厅强调,目前没有数据滥用的证据,事件也不是恶意活动造成的。然而,他们认真对待数据安全,并对错误感到后悔。根据向Infosecurity提供的资料,在有关期间,约有6.1万个住所地址受到影响,占申请总数的3%。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值