本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.1节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),更多章节内容可以访问云栖社区“异步社区”公众号查看。
指南1:限制敏感数据的生命周期
内存中的敏感信息很容易受到攻击,导致泄漏。对于以下条件,不管应用程序满足哪一个,能在应用程序所在的系统上执行代码的攻击者,都能访问这些数据。
使用对象来存储敏感数据,但是内容在使用后没有被清除或没有被垃圾收集器回收。
具有可以被操作系统按需(例如,为了执行内存管理任务或者为了支持系统休眠)交换到磁盘的内存页面。
在缓冲区(如BufferedReader)中有敏感数据。这些缓冲区持有敏感数据在操作系统缓存或内存中的副本。
使用了一些反射机制来控制敏感数据的流动,这些反射技巧可能规避掉系统对该数据的生命周期限制。
通过调试信息、日志文件、环境变量、线程转储和核心转储等方式暴露敏感数据。
如果内存中包含的敏感数据在使用后没有及时被清除,那么这些数据将极有可能被泄露。为了降低敏感数据泄露的风险,程序必须尽可能地最小化敏感数据的生命周期。
完全缓解(即对内存数据万无一失的保护)需要底层操作系统和Java虚拟机的支持。例如,如果将敏感数据交换至磁盘是一个问题,那么就需要有一个禁用交换和休眠的安全操作系统。
违规代码示例
在以下违规代码示例中,程序从控制台读取用户名和密码信息,并将密码存储在一个String对象中。在垃圾收集