小论Java类变量的隐私泄露

最新推荐文章于 2022-06-14 17:27:06 发布
最新推荐文章于 2022-06-14 17:27:06 发布
阅读量532 收藏 3
点赞数 2
文章标签: java
原文链接:https://my.oschina.net/Samyan/blog/2874702
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

什么是类变量的隐私泄露

在面向对象编程的过程中,一个特定的类A往往含有一些私有变量。对于私有变量,我们往往会设置其封装字段为“private”,并且设置get函数和set函数,希望其他类能且仅通过类A的get函数和set函数去更改这些私有变量。

然而,有的时候,其他类B中可能包含了表示A类的对象以及包含了能够修改A类私有属性的方法,或称B和A构成复合(B has A)关系,此时,我们在调用类B的过程中就有可能改变类A的私有属性,这就称为“隐私泄露”(privacy leak)。

举个栗子

现有一个“银行”类如下:(A类)

public class Bank {
    private final String username; //Assume username does not change often.
    private String password;

    public Bank(String username, String password){
        this.username = username;
        this.password = password;
    }//end constructor

    public void setPassword(String pass){
        password = pass;
    }//end method

    @Override
    public String toString(){
        return "Bank: Username: " + username + ", password: " + password;
    }//end method
}//end class

并且,我们设置了一个“用户”类(B类),其中含有修改该用户密码的函数:

public class User {
    private String username;
    private Bank bankAccount;

    public User(String username){
        this(username, null);
    }//end cons

    public User(String username, Bank bank){
        this.username = username;
        this.bankAccount = bank;
    }//end method

    public void resetBankPassword(String newPassword){
        bankAccount.setPassword(newPassword);
    }//end method

    @Override
    public String toString(){
        return "用户:" + username + " " + bankAccount;
    }//end method

}//end class

我们即可发现,通过User类不仅可以改变与当前用户相关账号的密码,还能改变与之不想关任何包含了的类Bank实例化对象的密码,某个示例代码如下(C类):

    public static void main(String[] args) {
        Bank bankAcc1 =  new Bank("银行初始化账户", "123456");
        User user1 = new User("肉鸡", bankAcc1);
        User user2 = new User("傻哥", bankAcc1);

        user1.resetBankPassword("654321");
        System.out.println(bankAcc1);
        System.out.println(user1);
        System.out.println(user2);
    }//end main

bankAcc1只是用来初始化用户的,因此“肉鸡”用户密码的修改不应该连带修改了银行类对象bankAcc1中的密码,更不应该改变“傻哥”账号的密码。因此我们说bankAcc1由于User类对它的调用,其私有变量password产生了“隐私泄露”。

解决之道

当程序对于类型安全有特殊要求时(没要求的话当然随意),我们需要对于调用了其他类A的类B中的函数做出一定修改,使得其他类(C类)不能通过修改B类的方式修改A类的私有变量。其方法就是,我们需要对于A类加一个“克隆构造函数”(copy constructor)。在B类中的函数对于代表A类的变量进行调用时,首先“克隆”一份A类对象原本的映像,再在映像上进行修改,从而使得代表A类的对象属性不变,而B类中相应的属性发生我们希望的变更。针对上述的例子,我们需要做如下修改:

“银行”类(A类)中添加的代码:

    public Bank(Bank orig){
        this.username = orig.username;
        this.password = orig.password;
    }

“用户”类(B类)变更resetBankPassword函数如下:

    public void resetBankPassword(String newPassword){
        bankAccount = new Bank(bankAccount);
        bankAccount.setPassword(newPassword);        
    }//end method

C类调用保持不变,获得以下结果:

此时,我们就在成功变更用户密码时并没有改变初始账号的密码,从而实现了对初始账号私有变量“密码”的隐私保护。

注意:

使用copy constructor确实实现了对于无关类私有变量的隐私保护,然而其实现过程中由于“拷贝”了整个对象的数据,因此会增加额外的内存需求,在某个类的对象包含大量数据且对类型安全无特殊要求时,应当慎用此招。

参考资料:

[1] W. Savitch, Absolute Java. Pearson Addison Wesley 6th Edition, 2013.

转载于:https://my.oschina.net/Samyan/blog/2874702

weixin_34405557
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java中隐藏的this变量和局部变量可能引发的内存泄露问题
JohnnyYin的博客
07-13 843
背景众所周知,在Java中,成员方法内可以使用this来引用当前对象,使用起来特别方便。但是在JVM中方法是在方法区中,所有的类的对象都共用了一个方法区,那么JVM是怎么知道this是指向哪个对象的呢? 其实为了实现这一功能,Java的处理方式很简单,在编译时,为每个成员方法都默默的添加了一个参数this,当调用这个方法时,把当前对象以参数的形式传进去即可。
Java信息隐藏和this
sinat_38565727的博客
01-30 505
信息隐藏原则 面向对象的一个法则:信息隐藏 -类的成员属性,是私有的private -类的方法是公有的public,通过方法修改成员属性的值 -get和set方法是公有public的,统称为getter和setter -外界对类成员的操作只能通过get和set方法 -可以用JavaIDE快速生成 创建一个类 只有一个成员属性id class InfoHiding { private int id...
【软件构造HIT】Java中可能引起表示泄露的原因+避免表示泄露的方法总结
qq_59197407的博客
06-14 301
表示泄露就是指用户不通过我们ADT提供的方法,就可以修改ADT的内容,出现不必要的麻烦。这种情况下,内部的数据结构就被泄露出去了,外部client可以看到或直接对我们的数据进行操作。这种风险即影响ADT的不变量RI(因为用户修改属性的值可能不再满足RI),也会影响到表示独立性(外部用户的使用已经与内部的实现产生了依赖),所以会出现许多难以处理的麻烦。所以对于一个ADT来说,最重要的就是RI和避免表示泄露。下面来总结一下可能出现表示泄露的原因以及如何预防表示泄露。...
Java 敏感信息脱敏
Edwin_Hu的博客
03-13 889
package com.cignacmb.util; import org.apache.http.util.TextUtils; import org.apache.commons.lang3.StringUtils; public class PolicyUtil { /** * 手机号前三后四脱敏 * @param mobile * @author edwin *...
Java 防止内部成员变量外部泄露的措施
Prototypen的博客
07-04 412
做Lab2时最大的收获是关于防泄漏方面的方法和思想。有必要写一点东西记录一下。 其实在此之前我本以为类内部的成员变量暴露给外界是无所谓的。去年暑假的java语言课我写的所有类成员变量全部是public修饰的,自认为这样在类外部可以直接引用查看更加方便。现在想想还是当时还是所知甚少。 Java语言一个很大的特性就是取消了指针类型,这也导致Java中除基本数据类型(int等类型)之外所有类型作为参数传递时传递的是引用(其实个人理解传递的全都是指针地址)而不是一个类的副本。如果某个可变类作为成员变量被暴露在外部,
java微信小程序加密数据解密
09-04
Java中实现微信小程序的加密数据解密是一个关键的技术环节,尤其对于那些涉及到用户隐私或者敏感信息的应用。微信小程序为了保证数据的安全传输,采用了特定的加密机制,这要求开发者在后端服务器上进行相应的解密...
Java安全体系结构1
08-08
此外,Java强制初始化变量,并对数组访问进行边界检查,防止越界访问。Java还引入了垃圾回收机制,自动管理内存,防止内存泄漏和悬挂引用。 2. **类加载器**:每个类加载器都有自己的命名空间,这样可以防止恶意...
Java使用云片API发送短信验证码
08-31
Java使用云片API发送短信验证码是一项常见的移动应用或网站安全功能,用于验证用户身份。本文将详细介绍如何在Java环境中利用云片提供的API实现这一功能。 首先,你需要在云片官网上注册并获取APIKEY,这是一个唯一...
Android 代码变量,用来备份的
11-19
本文将深入探讨如何在Java编程环境下,特别是在Android平台上,有效地处理代码中的变量备份。 首先,我们需要理解Android中的数据存储机制。Android提供了多种数据存储方式,包括 SharedPreferences、SQLite 数据库...
JAVA类文件反编译工具
07-20
3. **安全与隐私**:不要对含有敏感信息或加密过的类文件进行反编译,因为这可能导致数据泄露。 反编译工具还有其他选择,例如JAD和FernFlower,它们都可以作为命令行工具使用。JAD提供了更强大的反编译能力,而...
java哪些异常可能导致敏感信息泄露_java开发安全策略_风险漏洞与解决方案
weixin_39844284的博客
03-02 3073
项目语言:java项目环境:JDK1.8Web服务器Nginx+tomcat数据库mysql前端技术bootstrap+layui+jquery+ajax后端技术maven+springboot+shiro+jpa+druid+log4j1、 敏感信息泄露a) 漏洞描述:敏感信息泄露漏洞,是一种通过提交错误请求,使系统出现异常处理并报错,并且将系统程序、配置、路径、类、方法 等敏感信息泄露出来的漏...
你的个人隐私数据被泄露了吗?
GitHubDaily
04-13 1540
之前有不少国内外知名企业都被拖过库,所谓「拖库」,就是指网站被黑客入侵攻击,数据库被盗取。与此相关的还有洗库、撞库等操作手法,这些攻击手段目前已衍生出了某些行业黑产。今天给大家介绍的一款...
Java(web)项目安全漏洞及解决方式【面试+工作】
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
JAVA 内存泄露详解(原因、例子及解决)
热门推荐
anxpp的博客
05-05 12万+
转载请注明出处:http://blog.csdn.net/anxpp/article/details/51325838,谢谢! Java的一个重要特性就是通过垃圾收集器(GC)自动管理内存的回收,而不需要程序员自己来释放内存。理论上Java中所有不会再被利用的对象所占用的内存,都可以被GC回收,但是Java也存在内存泄露,但它的表现与C++不同。 JAVA 中的内存管...
java string 内存泄漏_String类substring方法导致的Java内存泄漏问题
weixin_34643336的博客
02-13 407
此问题在项目中被发现,经查看JDK源码(JDK1.6),String类的public String substring(int beginIndex, int endIndex)的实现让我很意外。想重现这个场景很容易,请看代码。1importjava.util.ArrayList;2importjava.util.List;34publicclassLeakTest{5publicstaticvo...
Java相当好的隐私(PGP)
最佳 Java 编程
05-06 394
公钥加密 这篇文章讨论了PGP或“很好的隐私”。 PGP是常规加密和公用密钥加密的混合实现。 在详细介绍PGP之前,让我们先谈谈公钥加密。 与其他任何加密技术一样,公钥加密解决了通过不安全介质传输安全数据的问题。 即互联网。 结果,该方案的目的是发送数据,以便只有预期的收件人才能阅读。 它通过使用非对称密钥加密来完成此任务。 它使用一对密钥进行加密:一个公共密钥,用于加密来自发送方...
java、python--差分隐私拉普拉斯分布(Laplace)实现
wenqiwenqi123的博客
08-22 1万+
最近在研究差分隐私,先用java实现了拉普拉斯分布,做了个Hive交互式接口。后来又用python画图,准备做个非交互式数据发布。 差分隐私的原理我先简单介绍一下,Apple 用它来实现信息安全。这里举一个例子来帮助理解,考虑一个医疗数据场景:        上图显示了一个医疗数据集D,其中每条记录表示一个患者是否患有癌症,当数据集作为科研数据或者社会调研被发布出来时,他对用户仅提供前
Java内存泄漏的排查总结
fishinhouse的专栏
06-23 10万+
一、内存溢出和内存泄露一种通俗的说法。1、内存溢出:你申请了10个字节的空间,但是你在这个空间写入11或以上字节的数据,出现溢出。2、内存泄漏:你用new申请了一块内存,后来很长时间都不再使用了(按理应该释放),但是因为一直被某个或某些实例所持有导致 GC 不能回收,也就是该被释放的对象没有释放。下面具体介绍。1.1 内存溢出java.lang.OutOfMemoryError,是指程序在申请内存...
java变量和类方法
最新发布
10-12
Java中的类变量是指被声明为static的变量,它们属于类而不是属于类的任何实例。类变量在整个类中只有一份拷贝,可以被所有实例共享。而类方法也是被声明为static的方法,它们也属于类而不是属于类的任何实例。类方法...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值