国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

　　• 靜態(tài)字段

　　• 縮小作用域

　　• 公共方法和字段

　　• 保護(hù)包

　　• equals方法

　　• 如果可能使對(duì)象不可改變

　　• 不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用

　　• 不要直接存儲(chǔ)用戶提供的數(shù)組

　　• 序列化

　　• 原生函數(shù)

　　• 清除敏感信息

靜態(tài)字段

　　• 避免使用非final的公共靜態(tài)變量

　　應(yīng)盡可能地避免使用非final公共靜態(tài)變量，因?yàn)闊o法判斷代碼有無權(quán)限改變這些變量值。

　　• 一般地，應(yīng)謹(jǐn)慎使用易變的靜態(tài)狀態(tài)，因?yàn)檫@可能導(dǎo)致設(shè)想中相互獨(dú)立的子系統(tǒng)之間發(fā)生不可預(yù)知的交互。

縮小作用域

　　作為一個(gè)慣例，盡可能縮小方法和字段的作用域。檢查包訪問權(quán)限的成員能否改成私有的，保護(hù)類型的成員可否改成包訪問權(quán)限的或者私有的，等等。

公共方法/字段

　　避免使用公共變量，而是使用訪問器方法訪問這些變量。用這種方式，如果需要，可能增加集中安全控制。

　　對(duì)于任何公共方法，如果它們能夠訪問或修改任何敏感內(nèi)部狀態(tài)，務(wù)必使它們包含安全控制。

　　參考如下代碼段，該代碼段中不可信任代碼可能設(shè)置TimeZone的值：

　　有時(shí)需要在全局防止包被不可信任代碼訪問，本節(jié)描述了一些防護(hù)技術(shù)：

　　• 防止包注入：如果不可信任代碼想要訪問類的包保護(hù)成員，可以嘗試在被攻擊的包內(nèi)定義自己的新類用以獲取這些成員的訪問權(quán)。防止這類攻擊的方式有兩種：

　　1. 通過向java.security.properties文件中加入如下文字防止包內(nèi)被注入惡意類。

　　...

　　package.definition=Package#1 [,Package#2,...,Package#n]

　　...

　　這會(huì)導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的defineClass方法會(huì)拋出異常，除非賦予代碼一下權(quán)限：

　　...

　　RuntimePermission("defineClassInPackage."+package)

　　...

　　2. 另一種方式是通過將包內(nèi)的類加入到封裝的Jar文件里。

　　(參看http://java.sun.com/j2se/sdk/1.2/do...ons/spec.html)

　　通過使用這種技巧，代碼無法獲得擴(kuò)展包的權(quán)限，因此也無須修改java.security.properties文件。

　　• 防止包訪問：通過限制包訪問并僅賦予特定代碼訪問權(quán)限防止不可信任代碼對(duì)包成員的訪問。通過向java.security.properties文件中加入如下文字可以達(dá)到這一目的：

　　...

　　package.access=Package#1 [,Package#2,...,Package#n]

　　...

　　這會(huì)導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的defineClass方法會(huì)拋出異常，除非賦予代碼一下權(quán)限：

　　...

　　RuntimePermission("defineClassInPackage."+package)

　　...

如果可能使對(duì)象不可改變

　　如果可能，使對(duì)象不可改變。如果不可能，使得它們可以被克隆并返回一個(gè)副本。如果返回的對(duì)象是數(shù)組、向量或哈希表等，牢記這些對(duì)象不能被改變，調(diào)用者修改這些對(duì)象的內(nèi)容可能導(dǎo)致安全漏洞。此外，因?yàn)椴挥蒙湘i，不可改變性能夠提高并發(fā)性。參考Clear sensitive information了解該慣例的例外情況。

　　不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用

　　該慣例僅僅是不可變慣例的變型，在這兒提出是因?yàn)槌３Ｔ谶@里犯錯(cuò)。即使數(shù)組中包含不可變的對(duì)象(如字符串)，也要返回一個(gè)副本這樣調(diào)用者不能修改數(shù)組中的字符串。不要傳回一個(gè)數(shù)組，而是數(shù)組的拷貝。

　　不要直接在用戶提供的數(shù)組里存儲(chǔ)

　　該慣例僅僅是不可變慣例的另一個(gè)變型。使用對(duì)象數(shù)組的構(gòu)造器和方法，比如說PubicKey數(shù)組，應(yīng)當(dāng)在將數(shù)組存儲(chǔ)到內(nèi)部之前克隆數(shù)組，而不是直接將數(shù)組引用賦給同樣類型的內(nèi)部變量。缺少這個(gè)警惕，用戶對(duì)外部數(shù)組做得任何變動(dòng)(在使用討論中的構(gòu)造器創(chuàng)建對(duì)象后)可能意外地更改對(duì)象的內(nèi)部狀態(tài)，即使該對(duì)象可能是無法改變的。

序列化

　　當(dāng)對(duì)對(duì)象序列化時(shí)，直到它被反序列化，它不在Java運(yùn)行時(shí)環(huán)境的控制之下，因此也不在Java平臺(tái)提供的安全控制范圍內(nèi)。

　　在實(shí)現(xiàn)Serializable時(shí)務(wù)必將以下事宜牢記在心：

　　• transient

　　在包含系統(tǒng)資源的直接句柄和相對(duì)地址空間信息的字段前使用transient關(guān)鍵字。 如果資源，如文件句柄，不被聲明為transient，該對(duì)象在序列化狀態(tài)下可能會(huì)被修改，從而使得被反序列化后獲取對(duì)資源的不當(dāng)訪問。

　　• 特定類的序列化/反序列化方法

　　為了確保反序列化對(duì)象不包含違反一些不變量集合的狀態(tài)，類應(yīng)該定義自己的反序列化方法并使用ObjectInputValidation接口驗(yàn)證這些變量。

　　如果一個(gè)類定義了自己的序列化方法，它就不能向任何DataInput/DataOuput方法傳遞內(nèi)部數(shù)組。所有的DataInput/DataOuput方法都能被重寫。注意默認(rèn)序列化不會(huì)向DataInput/DataOuput字節(jié)數(shù)組方法暴露私有字節(jié)數(shù)組字段。

　　如果Serializable類直接向DataOutput(write(byte []b))方法傳遞了一個(gè)私有數(shù)組，那么黑客可以創(chuàng)建ObjectOutputStream的子類并覆蓋write(byte []b)方法，這樣他可以訪問并修改私有數(shù)組。下面示例說明了這個(gè)問題。

　　你的類:

　　黑客代碼

　　• 字節(jié)流加密

　　保護(hù)虛擬機(jī)外的字節(jié)流的另一方式是對(duì)序列化包產(chǎn)生的流進(jìn)行加密。字節(jié)流加密防止解碼或讀取被序列化的對(duì)象的私有狀態(tài)。如果決定加密，應(yīng)該管理好密鑰，密鑰的存放地點(diǎn)以及將密鑰交付給反序列化程序的方式等。

　　• 需要提防的其他事宜

　　如果不可信任代碼無法創(chuàng)建對(duì)象，務(wù)必確保不可信任代碼也不能反序列化對(duì)象。切記對(duì)對(duì)象反序列化是創(chuàng)建對(duì)象的另一途徑。

　　比如說，如果一個(gè)applet創(chuàng)建了一個(gè)frame，在該frame上創(chuàng)建了警告標(biāo)簽。如果該frame被另一應(yīng)用程序序列化并被一個(gè)applet反序列化，務(wù)必使該frame出現(xiàn)時(shí)帶有同一個(gè)警告標(biāo)簽。

原生方法

　　應(yīng)從以下幾個(gè)方面檢查原生方法：

　　• 它們返回什么

　　• 它們需要什么參數(shù)

　　• 它們是否繞過了安全檢查

　　• 它們是否是公共的，私有的等

　　• 它們是否包含能繞過包邊界的方法調(diào)用，從而繞過包保護(hù)

清除敏感信息

　　當(dāng)保存敏感信息時(shí)，如機(jī)密，盡量保存在如數(shù)組這樣的可變數(shù)據(jù)類型中，而不是保存在字符串這樣的不可變對(duì)象中，這樣使得敏感信息可以盡早顯式地被清除。不要指望Java平臺(tái)的自動(dòng)垃圾回收來做這種清除，因?yàn)榛厥掌骺赡懿粫?huì)清除這段內(nèi)存，或者很久后才會(huì)回收。盡早清除信息使得來自虛擬機(jī)外部的堆檢查攻擊變得困難。