Почему char [] предпочтительнее, чем String для паролей?

Question

Почему char [] предпочтительнее, чем String для паролей?

3016

В Swing поле пароля имеет метод getPassword() (возвращает char[]) вместо обычного метода getText() (возвращает String). Точно так же я столкнулся с предложением не использовать String для обработки паролей.

Почему String создает угрозу безопасности при использовании паролей? Это неудобно использовать char[].

Ahamed 16 янв. 2012, в 14:15

Источник

21

Можете ли вы привести источник предложения? Я не могу придумать причину, по которой char[] был бы более безопасным, за исключением, может быть, самых любительских угроз.
Viruzzo 16 янв. 2012, в 14:23
143

@Viruzzo взгляните на Javadocs. Метод getText() в JPasswordField не рекомендуется в пользу getPassword() «по соображениям безопасности».
dogbane 16 янв. 2012, в 14:32
3

@ Dogbane Я просто сомневался в «соображениях безопасности»; Ответ Джона Скита прояснил ситуацию.
Viruzzo 16 янв. 2012, в 14:33
1

Если добавить ActionListener к JPasswordField (вероятно , обычный случай), вы получите пароль String , как «команда» действий. Он также может застрять в базовом Document . Но, тем не менее, это бессмысленный тик в списке бессмысленных тиков вашего работодателя.
Tom Hawtin - tackline 16 янв. 2012, в 22:52
31

символ []? Почему не байт []? В любом анализаторе дампа / кучи потоков вы можете видеть строки, и это легко заметить, если один содержит пароль. Для char [] это сложнее, но, тем не менее, если ваш анализатор кучи будет отображать символы один за другим, он будет таким же, как String. Для байта [] это маловероятно.
mvmn 17 янв. 2012, в 22:38
1

Также, если вы видите класс Console (Jdk 6) по адресу -> docs.oracle.com/javase/7/docs/api/java/io/… , вы увидите то же самое, что метод readPassword всегда возвращает символ [] ,,
KDjava 30 нояб. 2012, в 08:50
1

Я не эксперт, но может ли это быть связано с тем, что строки являются объектами и передаются по ссылке, создавая тем самым несколько экземпляров в памяти?
scott lafoy 05 дек. 2012, в 17:33
11

Просто для предоставления правильного сценария, в котором это могло бы иметь значение, в криминалистической практике общепринятым является обеспечение того, чтобы никакие компьютеры, требующие расследования, не отключались до того, как их память была выгружена, если они используют программное шифрование. Даже лучшая система шифрования должна поддерживать состояние, способное к дешифрованию.
Zenexer 15 июнь 2013, в 11:23
13

@scottlafoy Оба объекта char[] и String будут передаваться по ссылке; отдельных значений char не будет. Когда объекты передаются по значению , а не по ссылке, создается несколько копий. Как правило, это не проблема, так как такие объекты обычно проектируются как маленькие.
Zenexer 15 июнь 2013, в 11:25
4

Эту рекомендацию невозможно реализовать, и она сомнительна для стандартных Java-сервлетов: stackoverflow.com/questions/15016250/…
Raedwald 01 май 2015, в 19:03
3

IMO суть не в том, что массивы символов по своей природе более безопасны, а в том, что вы можете стереть их (перезаписать символы), как только вы их используете, чтобы они не задерживались в памяти. Вы не можете сделать то же самое со строками, которые являются неизменными.
Michal Borowiecki 12 июнь 2017, в 10:56
1

Для современного API, использующего пароли, я бы CharSequence , тогда вы можете использовать String или StringBuilder. Последнее может быть перезаписано. К сожалению, char [] не реализует CharSequence. Хотя хорошо иметь массив char, который вы можете очистить, часто API более высокого уровня предоставляют вам только Strings, и перед тем, как использовать string.toCharArray() только для удовлетворения API, вы можете передать строку напрямую.
eckes 22 окт. 2017, в 19:57
0

Честно говоря, если вы разработчик и придерживаетесь позиции «это маловероятно, поэтому я не буду защищаться» с конфиденциальными данными, вам, возможно, придется найти новую профессию. Мы не можем защититься от каждого предполагаемого пробела в безопасности, но ... давай ... используя char [] вместо строки, в нескольких местах это не повредит твоей статистике, и я уверен, что твое руководство, и клиенты, не волнует Для тех, кто какое-то время был разработчиком, они знают, что безопасность - это постоянно меняющийся ландшафт, в котором невозможно быть «идеальным». По крайней мере, следуйте передовым практикам. О, и не ленитесь только потому, что вы чего-то не ожидаете.
Mikejg101 14 авг. 2018, в 22:22

Показать ещё 11 комментариев

Теги:

java

string

security

passwords

char

18 ответов

1114

В то время как другие предложения здесь выглядят действительно, есть еще одна веская причина. С обычным String у вас гораздо больше шансов случайно распечатать пароль для журналов, мониторов или другого небезопасного места. char[] менее уязвим.

Рассмотрим это:

public static void main(String[] args) {
    Object pw = "Password";
    System.out.println("String: " + pw);

    pw = "Password".toCharArray();
    System.out.println("Array: " + pw);
}

Печать

String: Password
Array: [C@5829428e

Konrad Garus 16 янв. 2012, в 20:03

26

@ Voo, но я сомневаюсь, что вы войдете через прямую запись в поток и объединение. каркас журналирования преобразует char [] в хороший вывод
bestsss 18 янв. 2012, в 01:14
33

@ Thr4wn Реализацией по умолчанию для toString является classname@hashcode . [C представляет char[] , остальное - шестнадцатеричный хеш-код.
Konrad Garus 20 янв. 2012, в 12:39
8

Интересная идея. Я хотел бы отметить, что это не транспонирует в Scala, которая имеет значимую строку toString для массивов.
mauhiz 09 июль 2015, в 08:36
27

Я бы написал тип класса Password для этого. Это менее непонятно и сложнее случайно пройти где-нибудь.
rightfold 31 авг. 2015, в 17:32
0

@ Я согласен с bestsss. Ваша структура регистрации будет определять, как печатается массив char. Я думаю, что в большинстве сценариев будет напечатан массив символов.
GC_ 22 авг. 2016, в 11:36
5

Почему кто-то предположил, что массив char будет приведен как Object? Я не уверен, что понимаю, почему всем нравится этот ответ. Предположим, вы сделали это: System.out.println ("Password" .toCharArray ());
GC_ 22 авг. 2016, в 13:23
3

Учитывая, что реализация хеш- [C@5829428e Java для массивов не является безопасным хеш- [C@5829428e , злоумышленник, обнаруживший [C@5829428e в лог- [C@5829428e может, вероятно, взломать пароль, который он в любом случае получил, поэтому это обеспечивает незначительное преимущество в плане безопасности.
g.rocket 20 июнь 2017, в 00:07
5

@ g.rocket Хэш-код для массива не зависит от содержимого массива, он фактически случайный: пример из сети
Octavia Togami 12 июль 2017, в 00:03
0

Это не причина, по которой char[] рекомендуется вместо String
ACV 25 апр. 2018, в 22:31
0

Почему пароль хранится в незашифрованном виде? Он поступает в память из запроса (хранится в памяти в виде строки ??), а затем немедленно должен хэшироваться, сравниваться и отбрасываться, или если для другой системы необходимо получить внешнее хранилище, уже зашифрованное, а затем расшифрованное при использовании с использованием повернутого ключа? Я что-то здесь упускаю, пытаясь обдумать это?
Dawesi 05 авг. 2018, в 19:46
0

Пароль не может храниться в незашифрованном виде - фактически хранится надежно зашифрованная и хешированная последовательность байтов, сгенерированная из пароля, который был 1) необработанным, 2) засоленным и 3) удлиненным. Давайте назовем эту последовательность байтов C. Тем не менее, где-то вдоль линии, открытый текст может быть обработан для соли / nonce / удлинения, а затем зашифрован для сравнения с C. Таким образом, лучший подход - всегда предполагать, что похожая на пароли вещь, которую мы собираемся держать, является открытым текстом и хранит его как можно дольше.
luis.espinal 03 янв. 2019, в 14:54

Показать ещё 9 комментариев

603

Чтобы процитировать официальный документ, Руководство по архитектуре криптографии Java говорит об использовании паролей char[] vs. String (о шифровании на основе пароля, но это в общем, о паролях, конечно):

Казалось бы логичным собирать и хранить пароль в объекте типа java.lang.String. Однако здесь предостережение: Object of тип String являются неизменяемыми, т.е. нет методов, которые определяют, что позволяют изменять (перезаписывать) или обнулять содержимое Stringпосле использования. Эта функция делает объекты String непригодными для хранения секретной информации, такой как пароль пользователя. Вы должен всегда собирать и хранить конфиденциальную информацию безопасности в char.

В Руководстве 2-2 Руководства по безопасному кодированию для языка программирования Java версии 4.0 также говорится о чем-то подобном (хотя он первоначально находится в контексте ведения журнала):

Руководящий принцип 2-2: не регистрировать высокочувствительную информацию

Некоторая информация, такая как номера социального страхования (SSN) и пароли, очень чувствительны. Эта информация не должна сохраняться дольше, чем необходимо, и там, где это возможно, даже администраторы. Например, он не должен быть отправлен в файлы журналов и его присутствие не должно обнаруживаться при поиске. Некоторые переходные процессы данные могут храниться в изменяемых структурах данных, таких как массивы char, и очищается сразу после использования. Очистка структур данных сократилась эффективности по типичным системам времени исполнения Java, поскольку объекты перемещаются в памяти прозрачно программисту.

Это руководство также имеет последствия для внедрения и использования библиотеки нижнего уровня, не имеющие семантического знания данных они имеют дело с. В качестве примера, синтаксический анализ на нижнем уровне библиотека может регистрировать текст, над которым он работает. Приложение может анализировать SSN с библиотекой. Это создает ситуацию, когда SSN доступный для администраторов, имеющих доступ к файлам журнала.

Bruno 17 янв. 2012, в 04:16

2

это именно ошибочная / фиктивная ссылка, о которой я говорю ниже в ответе Джона, это хорошо известный источник с большим количеством критики.
bestsss 22 янв. 2012, в 20:45
33

@bestass не могли бы вы также привести ссылку?
user961954 11 авг. 2012, в 11:27
8

@bestass извините, но String довольно хорошо понятен и его поведение в JVM ... есть веские причины использовать char[] вместо String при работе с паролями безопасным способом.
SnakeDoc 27 июнь 2014, в 00:50
1

еще раз, хотя пароль передается в виде строки из браузера на запрос как «строка», а не символ? так что независимо от того, что вы делаете, это строка, в какой момент она должна обрабатываться и отбрасываться, а не храниться в памяти?
Dawesi 05 авг. 2018, в 19:50
0

@Dawesi - At which point - это зависит от приложения, но общее правило - делать это, как только вы получаете что-то, что должно быть паролем (открытым текстом или иным образом). Вы получаете его из браузера, например, как часть HTTP-запроса. Вы не можете контролировать доставку, но вы можете контролировать свое собственное хранилище, поэтому, как только вы его получите, поместите его в символ [], сделайте то, что вам нужно с ним сделать, затем установите все в '0' и позвольте gc вернуть его.
luis.espinal 03 янв. 2019, в 19:25

Показать ещё 3 комментария

304

Массивы символов (char[]) можно очистить после использования, установив каждый символ в ноль, а строки - нет. Если кто-то может каким-то образом увидеть изображение в памяти, они могут видеть пароль в виде обычного текста, если используются строки, но если используется char[], после очистки данных с 0, пароль защищен.

alephx 16 янв. 2012, в 15:12

8

Не защищен по умолчанию. Если мы говорим о веб-приложении, большинство веб-контейнеров передают пароль в объект HttpServletRequest в виде открытого текста. Если версия JVM - 1.6 или ниже, она будет в постоянном пространстве. Если он в 1.7, он все еще будет читаемым, пока не будет собран. (Когда бы это ни было.)
avgvstvs 05 фев. 2016, в 15:19
1

@avgvstvs: строки не перемещаются автоматически в пространство permgen, это относится только к интернированным строкам. Кроме того, пространство permgen также подлежит сборке мусора, только по более низкой ставке. Реальная проблема с пространством permgen - это его фиксированный размер, и именно поэтому никто не должен бездумно вызывать intern() для произвольных строк. Но вы правы в том, что экземпляры String существуют в первую очередь (до тех пор, пока они не будут собраны), и превращение их в массивы char[] впоследствии не изменит их.
Holger 09 март 2017, в 10:04
1

@Holger, см. Docs.oracle.com/javase/specs/jvms/se6/html/… "В противном случае создается новый экземпляр класса String, содержащий последовательность символов Unicode, заданную структурой CONSTANT_String_info; этот экземпляр класса является результатом строковый литерал. Наконец, вызывается метод intern нового экземпляра String. " В 1.6 JVM будет вызывать для вас intern, когда обнаружит идентичные последовательности.
avgvstvs 09 март 2017, в 16:43
0

@avgvstvs: это относится к записям константного пула класса, описывающим только строковые литералы. Пул констант класса содержит, как следует из названия, только константные строки, которые, очевидно, должны быть известны во время компиляции (как они могут появиться в файле класса в противном случае). Строки, созданные во время выполнения, т. Stringbuilder Через Stringbuilder или один из конструкторов String , не затрагиваются.
Holger 09 март 2017, в 17:28
1

@Holger, вы правы, я объединил пул констант и пул строк, но также неверно, что пространство permgen применяется только к внутренним строкам. До версии 1.7 constant_pool и string_pool находились в пространстве permgen. Это означает, что единственным классом Strings, которые были выделены для кучи, были, как вы сказали, new String() или StringBuilder.toString() Я управлял приложениями с большим количеством строковых констант, и в результате мы получили много пермиганового ползучести. До 1.7.
avgvstvs 11 март 2017, в 18:43
2

@avgvstvs: ну, строковые константы, как и JLS-мандаты, всегда интернированы, поэтому утверждение о том, что интернированные строки оказались в пространстве permgen, неявно применяется к строковым константам. Единственное отличие состоит в том, что строковые константы были созданы в пространстве permgen в первую очередь, тогда как вызов intern() для произвольной строки может привести к выделению эквивалентной строки в пространстве permgen. Последний мог получить GC, если бы не было буквальной строки с тем же содержимым, разделяющим этот объект ...
Holger 13 март 2017, в 11:20
0

простые слова +1.
roottraveller 31 окт. 2017, в 06:56
1

Однако следует отметить, что некоторая информация о строке все еще просочилась (если память может быть проверена): длина пароля. Со строкой в стиле C у нас может быть только буфер памяти, и как только он обнуляется, мы не знаем, какова была длина исходной строки. С char[] в Java, мы делаем. Если злоумышленник может видеть память и видит, что getPassword () возвращает char[1] , это указывает на гораздо более легкую цель грубой силы, чем тот, который возвращает char[16] .
Joshua Taylor 15 март 2018, в 18:47
0

Разве пароль не передается в виде строки из браузера? ака в памяти как строка перед началом?
Dawesi 05 авг. 2018, в 19:42

Показать ещё 7 комментариев

203

Некоторые люди считают, что вам нужно перезаписать память, используемую для хранения пароля, как только она вам больше не понадобится. Это уменьшает время, которое атакующий должен прочитать пароль из вашей системы и полностью игнорирует тот факт, что злоумышленнику уже достаточно нужен доступ, чтобы захватить JVM-память для этого. Злоумышленник с таким доступом может поймать ваши ключевые события, делая это совершенно бесполезным (AFAIK, поэтому, пожалуйста, поправьте меня, если я ошибаюсь).

Обновление

Благодаря комментариям я должен обновить свой ответ. По-видимому, есть два случая, когда это может добавить (очень) незначительное улучшение безопасности, поскольку это сокращает время, когда пароль может приземлиться на жесткий диск. Тем не менее, я думаю, что это слишком много для большинства случаев.

Ваша целевая система может быть плохо сконфигурирована, или вы должны предположить, что она есть, и вы должны быть параноидальными в отношении дампов ядра (может быть действительным, если системы не управляются администратором).
Ваше программное обеспечение должно быть чрезмерно параноидальным, чтобы предотвратить утечку данных, когда злоумышленник получает доступ к аппаратным средствам - используя такие функции, как TrueCrypt (прекращено), VeraCrypt, или CipherShed.

Если возможно, отключение дампов ядра и файла подкачки позаботится обо всех проблемах. Тем не менее, они потребуют прав администратора и могут уменьшить функциональность (меньше памяти для использования) и вытащить ОЗУ из запущенной системы все равно будут иметь серьезную озабоченность.

josefx 16 янв. 2012, в 15:01

29

Я бы заменил «совершенно бесполезный» на «просто незначительное улучшение безопасности». Например, вы можете получить доступ к дампу памяти, если у вас есть доступ на чтение к каталогу tmp, плохо настроенная машина и сбой в вашем приложении. В этом случае вы не сможете установить кейлоггер, но вы можете проанализировать дамп ядра.
Joachim Sauer 16 янв. 2012, в 16:23
38

Стирание незашифрованных данных из памяти, как только вы закончите, считается лучшей практикой, а не потому, что она надежна (это не так); но потому что это снижает уровень вашей угрозы. Атаки в реальном времени не предотвращаются этим; но поскольку он служит инструментом уменьшения ущерба, значительно сокращает объем данных, которые подвергаются обратной атаке на снимок памяти (например, копия памяти ваших приложений, которая была записана в файл подкачки или была прочитана из памяти, извлечена из памяти) с работающего сервера и перешел на другой, прежде чем его состояние не удалось).
Dan Neely 16 янв. 2012, в 16:26
8

Я склонен согласиться с позицией этого ответа. Рискну предположить, что большинство нарушений безопасности имеют место на гораздо более высоком уровне абстракции, чем биты в памяти. Несомненно, в системах сверхзащищенной защиты, вероятно, существуют сценарии, в которых это может вызывать серьезную озабоченность, но серьезное понимание на этом уровне избыточно для 99% приложений, в которых используются .NET или Java (поскольку это связано со сборкой мусора).
kingdango 17 янв. 2012, в 18:18
0

может быть, localhost - это не то, что вы хотите защитить. Возможно, вы создали программу, запущенную на незащищенном клиенте, и вам нужен пароль для доступа к базе данных. Если вы не доверяете клиенту и пытаетесь защитить базу данных, хороший совет - стереть пароли из памяти.
Rolf Rander 20 янв. 2012, в 17:19
1

@RolfRander, что еще хуже, вы не должны вводить пароли на ненадежных клиентах - используйте одноразовый ключ (не уверен, что это правильный термин, пароль, который работает только один раз и блокируется после этого использования).
josefx 20 янв. 2012, в 19:08
0

большинство сайтов используют пароли для входа в систему. Номер вашей кредитной карты и защитные цифры также являются своего рода паролем.
Rolf Rander 20 янв. 2012, в 19:31
0

@RolfRander ничего не говорит о сайтах, которые требуют ненадежного клиента, если пользователь решает использовать скомпрометированную систему, то вы ничего не можете сделать, чтобы защитить его от последствий.
josefx 20 янв. 2012, в 20:58
0

как я уже сказал, суть может заключаться в защите сервера, а не клиента. Мой пример с примером веб-сайта заключается в том, что существует множество служб, использующих пароли (по разным причинам, хотя очевидно, что другие механизмы будут более безопасными. Суть в том, что сценарий, в котором вы хотите защитить сервер, не будет доверять клиенту и используют пароли, хранение паролей в символе [] - это разумный выбор, и это на самом деле не надуманный сценарий.
Rolf Rander 20 янв. 2012, в 22:02
0

@RolfRander почему-то мне кажется, что вы используете единый логин для всех своих клиентов и не имеете никакой защиты / проверки на стороне сервера. Вы обязаны убедиться, что пользователь не может скомпрометировать базу данных (ограничения доступа и проверка на стороне сервера), а пользователи должны убедиться, что его учетная запись не может быть взломана (его пароль).
josefx 21 янв. 2012, в 10:06
1

Абсолютно. Но чтобы пользователь мог убедиться, что его пароль не скомпрометирован, программное обеспечение, обрабатывающее пароль, должно позаботиться о том, чтобы уменьшить вероятность того, что вредоносная программа (на клиенте) сможет получить пароли из памяти клиентского приложения. Для этого я считаю, что хранить пароль в символе [] и перезаписывать его впоследствии - хороший совет.
Rolf Rander 22 янв. 2012, в 11:49
2

Я бы сказал, что если кто-то понимает, что стоит за символом и против него, то он более склонен думать о безопасности при настройке серверов. Не думать - это то, что обычно вводит дыры в безопасности.
Tinman 10 окт. 2012, в 21:28
8

После проникновения Heartbleed в серверную память и выявления паролей я заменил бы строку «просто незначительное улучшение безопасности» на «абсолютно необходимо не использовать String для паролей, а вместо этого использовать char []».
Peter vdL 24 июль 2014, в 05:15
2

@PetervdL обиделась, потому что кому-то пришла в голову прекрасная идея, что повторное использование памяти дешевле, чем выделение новой (очищенной) памяти, вы не можете повторно использовать строку в Java, просто надеетесь, что никому никогда не пришла идея поместить ваш символ [] в список повторного использования для лучшая производительность.
josefx 26 июль 2014, в 14:47
0

Ты упускаешь суть полностью, Джозефкс. Дело в том, что сердцебиение позволило удаленное чтение памяти процесса, что до сих пор считалось маловероятным. В сочетании с использованием строк Java пароли легко раскрываются. Char [] позволяет разработчику исключать пароли, String даже не дает такой возможности. Char [] + сердцебиение может быть вредным, если кодер испортит. String + heartbleed == определенно всегда вредно.
Peter vdL 27 июль 2014, в 18:45
8

@PetervdL heartbleed позволял только чтение определенной повторно используемой коллекции буферов (используемой как для критичных для безопасности данных, так и для сетевого ввода-вывода без очистки между ними - по соображениям производительности), вы не можете комбинировать это со строкой Java, поскольку они по своей конструкции не предназначены для повторного использования , Также вы не можете читать в случайную память, используя Java, чтобы получить содержимое строки. Проблемы с языком и дизайном, которые приводят к сердцебиению, просто невозможны с Java Strings.
josefx 30 июль 2014, в 17:39
5

@PetervdL тогда, пожалуйста, не ссылайтесь на «ошибку heartbleed в сочетании со строками Java», и я уверен, что большинство из тех, что я упомянул в связи с heartbleed, было правильным, разработчики libreSSL довольно подробно узнали, почему OpenSSL был кошмаром безопасности. «Может» быть способом использовать ошибку в JIT для обхода встроенных Javas-проверок диапазона или автоматического обнуления памяти объекта, и кто-то может «вызвать» это из удаленного местоположения без сбоя JVM, однако это не имеет ничего общего с heartbleed, и при этом любая ошибка в JVM не будет настолько простой или оптимизированной для эксплойтов.
josefx 31 июль 2014, в 19:39
3

@PetervdL Это не просто «специфично» для ошибки Heartbleed; это совершенно неприменимо. Я предлагаю вам не ссылаться на Heartbleed в качестве оправдания мер безопасности, пока вы не поймете его суть лучше. Спасибо josefx за то, что он пролил свет на этот часто неправильно понимаемый вопрос.
DavidS 08 июль 2015, в 05:15
0

Есть еще один случай - сбой JVM и создание дампа памяти.
ACV 25 апр. 2018, в 22:33
0

Почему вы храните пароль в памяти? внешняя система? запрос web или api отправляет строку (по иронии судьбы), так что в любом случае он находится в памяти. Я бы никогда не сохранил пароль для входа в другую переменную (кроме той, которая только для чтения и отправлена на сервер), незашифрованной по какой-либо причине? Должны ли веб-запросы преобразовывать буквы в их эквивалентные числа для отправки, чтобы переменная запроса была числом? Как нет типа данных char из браузера?
Dawesi 05 авг. 2018, в 19:59
0

И для полноты картины давайте не будем забывать о недавних атаках на кризисы и распад: meltdownattack.com, которые можно использовать через веб-браузер или среду общего хостинга.
Stefan L 17 дек. 2018, в 16:18

Показать ещё 18 комментариев

119

Строки являются неизменяемыми в Java, если вы храните пароль в виде обычного текста, он будет доступен в памяти до тех пор, пока сборщик мусора не очистит его, и поскольку строки используются в пуле строк для повторного использования, вероятность того, что он останется в памяти в течение длительного времени, что создает угрозу безопасности. Поскольку любой, у кого есть доступ к дампу памяти, может найти пароль в ясном тексте
Рекомендация Java с использованием метода getPassword() JPasswordField, который возвращает метод char [] и устаревший getText(), который возвращает пароль в текстовом виде с указанием причины безопасности.
toString() всегда существует риск печати обычного текста в файле журнала или консоли, но если вы используете Array, вы не будете печатать содержимое массива, а его память будет распечатана.
```
String strPwd = "passwd";
char[] charPwd = new char[]{'p','a','s','s','w','d'};
System.out.println("String password: " + strPwd );
System.out.println("Character password: " + charPwd );
```
Пароль строкой: passwd

Пароль персонажа: [C @110b2345

Заключительные мысли: Хотя использование char [] не только достаточно, вам нужно стереть контент, чтобы быть более безопасным. Я также предлагаю работать с хешированным или зашифрованным паролем вместо обычного текста и освобождать его из памяти, как только будет завершена аутентификация.

Srujan Kumar Gulla 27 дек. 2012, в 22:02

3

«Поскольку любой, кто имеет доступ к дампу памяти, может найти пароль открытым текстом» Как я могу получить доступ к дампу памяти и найти там пароль?
Mohit Kanwar 01 июль 2015, в 05:44
3

@MohitKanwar Запустить дамп памяти через jmap или jvisualvm. Если установлено значение heapdumponoutofmemoryerror, вы можете запустить удаленный дамп кучи, вызвав состояние нехватки памяти. Получив дамп, вы можете просмотреть его с помощью jvisualvm или инструмента анализа памяти eclipse или инструментов командной строки и проверить все объекты и их значения.
Ryan 05 авг. 2016, в 17:22

73

Я не думаю, что это правильное предложение, но я могу хотя бы догадаться по этой причине.

Я думаю, что мотивация заключается в том, что вы можете быстро и достоверно стереть все следы пароля в памяти и с уверенностью после его использования. С помощью char[] вы можете перезаписать каждый элемент массива пустым или что-то точно. Вы не можете редактировать внутреннее значение String таким образом.

Но это одно не является хорошим ответом; почему бы не просто убедиться, что ссылка на char[] или String не исчезает? Тогда нет проблемы с безопасностью. Но дело в том, что объекты String могут быть intern() изложены в теории и сохранены в постоянном пуле. Я полагаю, что использование char[] запрещает эту возможность.

Sean Owen 16 янв. 2012, в 15:01

2

Я бы не сказал, что проблема в том, что ваши ссылки будут или не будут "убегать". Просто строки остаются неизмененными в памяти в течение некоторого дополнительного времени, в то время как char[] может быть изменено, и тогда не имеет значения, будет ли он собран или нет. И поскольку интернирование строк должно быть сделано явно для не-литералов, это то же самое, что сказать, что на char[] может ссылаться статическое поле.
Groo 16 янв. 2012, в 17:26
0

пароль в памяти не является строкой из сообщения формы?
Dawesi 05 авг. 2018, в 19:43

58

Ответ уже дан, но я хотел бы поделиться проблемой, которую я обнаружил в последнее время со стандартными библиотеками Java. Несмотря на то, что теперь они очень осторожно заменяют строки пароля char[] (что, конечно же, хорошо), другие важные критически важные данные, похоже, упускают из виду, когда дело доходит до очистки его от памяти.

Я имею в виду, например, класс PrivateKey. Рассмотрим сценарий, в котором вы бы загрузили частный ключ RSA из файла PKCS # 12, используя его для выполнения некоторой операции. Теперь в этом случае обнюхивание пароля само по себе не поможет вам, пока физический доступ к ключевому файлу будет надлежащим образом ограничен. Как атакующий, вам будет намного лучше, если вы получите ключ напрямую, а не пароль. Желаемая информация может быть пропущена много, дампы ядра, сеанс отладчика или файлы подкачки - вот лишь некоторые примеры.

И, как оказалось, нет ничего, что позволило бы очистить личную информацию от PrivateKey из памяти, потому что нет API, который позволяет стереть байты, которые формируют соответствующую информацию.

Это плохая ситуация, так как этот документ описывает, как это обстоятельство потенциально может быть использовано.

Библиотека OpenSSL, например, перезаписывает критические разделы памяти до освобождения секретных ключей. Поскольку Java собирает мусор, нам нужны явные методы для очистки и аннулирования личной информации для Java-ключей, которые должны применяться сразу же после использования ключа.

emboss 19 янв. 2012, в 20:28

0

Одним из способов решения этой PrivateKey является использование реализации PrivateKey , которая фактически не загружает свой частный контент в память: например, через аппаратный токен PKCS # 11. Возможно, программная реализация PKCS # 11 могла бы позаботиться об очистке памяти вручную. Возможно, лучше использовать что-то вроде хранилища NSS (которое разделяет большую часть своей реализации с PKCS11 хранилища PKCS11 в Java). KeychainStore (хранилище ключей OSX) загружает все содержимое закрытого ключа в свои экземпляры PrivateKey , но в этом нет необходимости. (Не уверен, что делает WINDOWS-MY KeyStore в Windows.)
Bruno 21 янв. 2012, в 13:31
0

@ Bruno Конечно, аппаратные токены не страдают от этого, но как насчет ситуаций, когда вы более или менее вынуждены использовать программный ключ? Не каждое развертывание имеет бюджет, чтобы позволить себе HSM. Программные хранилища ключей в какой-то момент должны будут загрузить ключ в память, поэтому, по крайней мере, нам нужно, по крайней мере, дать возможность очистить память снова.
emboss 21 янв. 2012, в 14:18
0

Безусловно, мне было просто интересно, могут ли некоторые программные реализации, эквивалентные HSM, вести себя лучше с точки зрения очистки памяти. Например, при использовании client-auth с Safari / OSX процесс Safari фактически никогда не видит закрытый ключ, базовая библиотека SSL, предоставляемая ОС, напрямую связывается с демоном безопасности, который запрашивает у пользователя использование ключа из цепочки для ключей. Хотя все это делается в программном обеспечении, подобное разделение, подобное этому, может помочь, если подписывание делегировано другому объекту (даже программному), который лучше разгрузит или очистит память.
Bruno 21 янв. 2012, в 14:29
0

@Bruno: интересная идея, дополнительный слой косвенности, который заботится об очистке памяти, действительно решил бы это прозрачно. Написание оболочки PKCS # 11 для хранилища ключей программного обеспечения уже может помочь?
emboss 21 янв. 2012, в 14:45

Показать ещё 2 комментария

46

Как утверждает Джон Скит, нет никакого способа, кроме как с помощью отражения.

Однако, если отражение является для вас вариантом, вы можете это сделать.

public static void main(String[] args) {
    System.out.println("please enter a password");
    // don't actually do this, this is an example only.
    Scanner in = new Scanner(System.in);
    String password = in.nextLine();
    usePassword(password);

    clearString(password);

    System.out.println("password: '" + password + "'");
}

private static void usePassword(String password) {

}

private static void clearString(String password) {
    try {
        Field value = String.class.getDeclaredField("value");
        value.setAccessible(true);
        char[] chars = (char[]) value.get(password);
        Arrays.fill(chars, '*');
    } catch (Exception e) {
        throw new AssertionError(e);
    }
}

при запуске

please enter a password
hello world
password: '***********'

Примечание: если String char [] был скопирован как часть цикла GC, есть вероятность, что предыдущая копия находится где-то в памяти.

Эта старая копия не появится в дампе кучи, но если у вас есть прямой доступ к необработанной памяти процесса, вы можете ее увидеть. В общем, вы должны избегать доступа любого пользователя.

Peter Lawrey 08 июль 2015, в 11:11

2

Лучше также сделать что-нибудь, чтобы предотвратить печать длины пароля, которую мы получаем из '***********' .
chux 27 авг. 2015, в 19:21
0

@chux вы можете использовать символ нулевой ширины, хотя это может быть более запутанным, чем полезным. Невозможно изменить длину массива char без использования Unsafe. ;)
Peter Lawrey 27 авг. 2015, в 20:16
4

Из-за дедупликации строк в Java 8, я думаю, что-то подобное может быть довольно разрушительным ... вы можете в конечном итоге очистить другие строки в вашей программе, которые случайно имеют то же значение пароля String. Вряд ли, но возможно ...
jamp 08 фев. 2016, в 14:48
0

@jamp Java 9, как ожидается, будет иметь эту функцию, а также компактную строку (т.е. с использованием байта []]). Я не верю, что это происходит в Java 8.
Peter Lawrey 08 фев. 2016, в 15:33
1

@PeterLawrey Он должен быть включен с аргументом JVM, но он есть. Можете прочитать об этом здесь: blog.codecentric.de/en/2014/08/…
jamp 08 фев. 2016, в 16:20

Показать ещё 3 комментария

38

Изменить: Возвращаясь к этому ответу после года исследований в области безопасности, я понимаю, что это приводит к довольно неприятным последствиям, что вы когда-либо сравнивали бы пароли открытого текста. Пожалуйста, не надо. Используйте безопасный односторонний хэш с солью и разумное количество итераций. Подумайте о том, как использовать библиотеку: это трудно понять!

Оригинальный ответ: Что касается того факта, что String.equals() использует оценку короткого замыкания и поэтому уязвим для временной атаки? Это может быть маловероятно, но теоретически вы можете сравнить время с паролем, чтобы определить правильную последовательность символов.

public boolean equals(Object anObject) {
    if (this == anObject) {
        return true;
    }
    if (anObject instanceof String) {
        String anotherString = (String)anObject;
        int n = value.length;
        // Quits here if Strings are different lengths.
        if (n == anotherString.value.length) {
            char v1[] = value;
            char v2[] = anotherString.value;
            int i = 0;
            // Quits here at first different character.
            while (n-- != 0) {
                if (v1[i] != v2[i])
                    return false;
                i++;
            }
            return true;
        }
    }
    return false;
}

Еще несколько ресурсов по таймингу:

Урок временных сбоев
Обсуждение атак по таймингу в разделе "Обмен файлами безопасности"
И, конечно, Страница времени Википедии с временной привязкой

Graph Theory 08 апр. 2015, в 02:03

0

Но это может быть и в сравнении char [], где-то мы будем делать то же самое и при проверке пароля. Так как же char [] лучше string?
Mohit Kanwar 01 июль 2015, в 05:41
3

Вы абсолютно правы, ошибку можно совершить в любом случае. Знание этой проблемы является наиболее важным здесь, учитывая, что в Java не существует явного метода сравнения паролей для паролей на основе строк или символов char []. Я бы сказал, что искушение использовать compare () для Strings - хорошая причина, чтобы использовать char []. Таким образом, вы, по крайней мере, можете контролировать, как выполняется сравнение (без расширения String, что очень болезненно).
Graph Theory 02 июль 2015, в 21:03
0

Кроме того, сравнивать незашифрованные пароли в любом случае неправильно, соблазн использовать Arrays.equals для char[] такой же высокий, как и для String.equals . Если кому-то было интересно, был выделенный класс ключей, инкапсулирующий действительный пароль и заботящийся о проблемах - о, подождите, у реальных пакетов безопасности есть выделенные классы ключей, эти вопросы и ответы только о привычке вне их, скажем, например, JPasswordField , используйте char[] вместо String (где фактические алгоритмы используют byte[] любом случае).
Holger 09 март 2017, в 10:22
0

Программное обеспечение, связанное с безопасностью, должно делать что-то вроде sleep(secureRandom.nextInt()) перед тем, как отклонить попытку входа в систему, так как это не только устраняет возможность синхронизации атак, но и противодействует попыткам перебора.
Holger 09 март 2017, в 10:24

Показать ещё 2 комментария

35

Это все причины, нужно выбрать массив char [] вместо String для пароля.

1. Поскольку строки являются неизменными в Java, если вы храните пароль в виде обычного текста, он будет доступен в памяти до тех пор, пока сборщик Garbage не очистит его, и поскольку String используется в пуле String для повторного использования, существует довольно высокая вероятность того, что он будет остаются в памяти в течение длительного времени, что создает угрозу безопасности.

Так как любой, кто имеет доступ к дампу памяти, может найти пароль в открытом тексте, это еще одна причина, по которой вы всегда должны использовать зашифрованный пароль, а не простой текст. Поскольку строки неизменяемы, невозможно изменить содержимое строк, потому что любое изменение приведет к созданию новой строки, а если вы используете char [], вы все равно можете установить все элементы как пустые или нулевые. Таким образом, сохранение пароля в массиве символов явно снижает риск безопасности при краже пароля.

2. Сама Java рекомендует использовать метод getPassword() JPasswordField, который возвращает char [] вместо устаревшего метода getText(), который возвращает пароли в ясном тексте с указанием соображений безопасности. Хорошо следовать рекомендациям команды Java и придерживаться стандартов, а не идти против них.

3. При использовании String всегда существует опасность печати обычного текста в файле журнала или консоли, но если вы используете Array, вы не будете печатать содержимое массива, а вместо этого его местоположение памяти будет напечатано. Хотя это и не настоящая причина, это все еще имеет смысл.

String strPassword="Unknown";
char[] charPassword= new char[]{'U','n','k','w','o','n'};
System.out.println("String password: " + strPassword);
System.out.println("Character password: " + charPassword);

String password: Unknown
Character password: [C@110b053

Ссылка на этот блог. Надеюсь, это поможет.

Human Being 08 май 2014, в 11:31

8

Это избыточно. Этот ответ является точной версией ответа, написанного @SrujanKumarGulla stackoverflow.com/a/14060804/1793718 . Пожалуйста, не копируйте и не дублируйте один и тот же ответ дважды.
Lucky 03 нояб. 2016, в 07:57
0

В чем разница между 1.) System.out.println («Символьный пароль:» + charPassword); и 2.) System.out.println (charPassword); Потому что он дает то же «неизвестное», что и вывод.
Vaibhav_Sharma 28 июль 2017, в 11:13

34

Нет ничего, что массив char дает вам vs String, если вы не очистите его вручную после использования, и я не видел, чтобы кто-то действительно делал это. Поэтому для меня предпочтение char [] vs String немного преувеличено.

Взгляните на _{широко используемую} библиотеку Spring Security здесь и спросите себя - парни Spring Security некомпетентны или char [] пароли просто не имеют большого смысла. Когда какой-то неприятный хакер захватывает память вашей памяти, убедитесь, что она получит все пароли, даже если вы используете сложные способы скрыть их.

Тем не менее, Java все время меняется, и некоторые страшные функции, такие как Функция дедупликации строк Java 8 может ставить объекты String без вашего ведома. Но это разные разговоры.

Oleg Mikheev 24 янв. 2015, в 08:35

0

Почему строковая дедупликация страшна? Это применимо только в том случае, если по крайней мере две строки имеют одинаковое содержимое, поэтому какая опасность может возникнуть, если эти две уже идентичные строки совместно используют один и тот же массив? Или давайте спросим наоборот: если нет дедупликации строк, какое преимущество возникает из-за того, что обе строки имеют отдельный массив (с одинаковым содержимым)? В любом случае будет существовать массив этого содержимого, по крайней мере, до тех пор, пока живая самая длинная строка этого содержимого ...
Holger 09 март 2017, в 17:45
0

@ Держите все, что находится вне вашего контроля, - потенциальный риск ... например, если два пользователя имеют один и тот же пароль, эта замечательная функция будет хранить их обоих в одном символе [], давая понять, что они одинаковы, не уверен, что это так. огромный риск, но все же
Oleg Mikheev 09 март 2017, в 18:28
0

Если у вас есть доступ к памяти кучи и к обоим экземплярам строк, не имеет значения, указывают ли строки на один и тот же массив или на два массива с одинаковым содержимым, каждый из которых легко найти. Тем более, что это все равно не имеет значения. Если вы находитесь на этом этапе, вы получаете оба пароля, одинаковые или нет. Фактическая ошибка заключается в использовании незашифрованных паролей в виде открытого текста.
Holger 09 март 2017, в 18:35
0

@Holger, чтобы подтвердить пароль, он должен быть в виде открытого текста в памяти в течение некоторого времени, 10 мс, даже если он просто создает соленый хеш из него. Затем, если случится так, что в памяти останутся два идентичных пароля, даже на 10 мс, может возникнуть дедупликация. Если это действительно интерны строк, они хранятся в памяти гораздо дольше. Система, которая не перезагружается месяцами, будет собирать множество из них. Просто теоретизирую.
Oleg Mikheev 10 март 2017, в 21:40
0

Кажется, у вас есть фундаментальное недопонимание в отношении дедупликации строк. Он не «интернирует строки», все, что он делает, это позволяет строкам с одинаковым содержимым указывать на один и тот же массив, что фактически уменьшает количество экземпляров массива, содержащих пароль в виде открытого текста, поскольку все, кроме одного экземпляра массива, могут быть восстановлены и перезаписаны другими объектами немедленно. Эти строки все еще собираются как любая другая строка. Может быть, это поможет, если вы понимаете, что дедупликация фактически выполняется сборщиком мусора, только для строк, которые пережили несколько циклов GC.
Holger 13 март 2017, в 11:30

Показать ещё 3 комментария

28

Строки неизменяемы и не могут быть изменены после их создания. Создание пароля в виде строки приведет к остаточному обращению к паролю в куче или в пуле строк. Теперь, если кто-то возьмет кучу кучи Java-процесса и тщательно проверит его, он сможет угадать пароли. Конечно, эти неиспользуемые строки будут собирать мусор, но это зависит от того, когда GC запускается.

С другой стороны char [] изменяются, как только выполняется аутентификация, вы можете перезаписать их любым символом, как все M или обратные слэши. Теперь даже если кто-то берет кучу кучи, он, возможно, не сможет получить пароли, которые в настоящее время не используются. Это дает вам больше контроля в том смысле, как очистка содержимого объекта самостоятельно или до ожидания выполнения GC.

Geek 28 июль 2015, в 11:40

0

Они будут только GC'd, если JVM в вопросе> 1.6. До 1.7 все строки хранились в permgen.
avgvstvs 05 фев. 2016, в 15:15
0

@avgvstvs: «все строки были сохранены в permgen» - это просто неправильно. Там хранились только интернированные строки, и если они не были получены из строковых литералов, на которые ссылается код, они все равно были собраны сборщиком мусора. Просто подумай об этом. Если в JVM до 1.7 строки обычно никогда не собирались GCed, как могло бы выжить какое-либо Java-приложение дольше нескольких минут?
Holger 09 март 2017, в 10:28
0

@ Холгер Это ложно. Внутренние strings И пул String (пул ранее использованных строк) были ОБА сохранены в Пермгене до 1.7. Также см. Раздел 5.1: docs.oracle.com/javase/specs/jvms/se6/html/… JVM всегда проверяла Strings на наличие одинакового ссылочного значения и String.intern() FOR YOU. В результате каждый раз, когда JVM обнаруживает идентичные строки в constant_pool или куче, она перемещает их в permgen. И я работал над несколькими приложениями с "creeping permgen" до 1.7. Это была настоящая проблема.
avgvstvs 09 март 2017, в 16:36
0

Итак, резюмируем: до 1.7 строки начинались в куче, когда они использовались, они помещались в constant_pool который был расположен в permgen, и затем, если строка использовалась более одного раза, она была интернирована.
avgvstvs 09 март 2017, в 16:39
0

@avgvstvs: нет «пула ранее использованных строк». Вы бросаете совершенно разные вещи вместе. Существует один пул строк времени выполнения, содержащий строковые литералы и явно интернированную строку, но другого нет. И у каждого класса есть свой постоянный пул, содержащий константы времени компиляции . Эти строки автоматически добавляются в пул времени выполнения, но только эти , а не все строки.
Holger 09 март 2017, в 17:34

Показать ещё 3 комментария

17

Короткий и простой ответ будет состоять в том, что char[] является изменяемым, а String объектов нет.

Strings в Java являются неизменяемыми объектами. Вот почему они не могут быть изменены после создания, и поэтому единственный способ удалить их содержимое из памяти - собрать их мусором. Это будет только тогда, когда память, освобожденная объектом, может быть перезаписана, и данные исчезнут.

Теперь сбор мусора в Java не происходит ни с каким гарантированным интервалом. Таким образом, String может сохраняться в памяти в течение длительного времени, и если процесс выйдет из строя в течение этого времени, содержимое строки может закончиться в дампе памяти или в каком-то журнале.

С помощью массива символов вы можете прочитать пароль, завершить работу с ним, как только сможете, а затем сразу же изменить содержимое.

Pritam Banerjee 09 дек. 2016, в 20:12

20

Это просто бессмысленная перефразировка ответа Скита.
pmcilreavy 31 янв. 2017, в 10:22
0

@fallenidol Совсем нет. Читайте внимательно, и вы найдете различия.
Pritam Banerjee 11 сен. 2017, в 06:02

16

1) Так как Строки неизменны в Java, если вы храните пароль как обычный текст, он будет доступен в памяти до тех пор, пока сборщик мусора не очистит его, и поскольку String используется в пуле String для повторного использования, существует довольно высокая вероятность того, что он будет остаются в памяти в течение длительного времени, что создает угрозу безопасности. Поскольку любой, у кого есть доступ к дампу памяти, может найти пароль в открытом тексте, и по этой причине вы всегда должны использовать зашифрованный пароль, чем обычный текст. Поскольку строки являются неизменными, невозможно изменить содержимое строк, потому что любое изменение приведет к созданию новой строки, а если вы char [], вы все равно можете установить весь его элемент как пустой или нулевой. Таким образом, хранение пароля в массиве символов снижает риск безопасности при краже пароля.

2) Сама Java рекомендует использовать метод getPassword() JPasswordField, который возвращает char [] и устаревший метод getText(), который возвращает пароль в ясном тексте с указанием причины безопасности. Хорошо следовать советам команды Java и придерживаться стандарта, а не идти против него.

Neeraj Gahlawat 07 сен. 2017, в 12:12

14

Строка неизменна и идет в пул строк. После написания это нельзя перезаписать.

char[] - это массив, который вы должны перезаписать после того, как вы использовали пароль, и вот как это должно быть сделано:

char[] passw = request.getPassword().toCharArray()
if (comparePasswords(dbPassword, passw) {
 allowUser = true;
 cleanPassword(passw);
 cleanPassword(dbPassword);
 passw=null;
}

private static void cleanPassword (char[] pass) {
 for (char ch: pass) {
  ch = '0';
 }
}

Один сценарий, в котором злоумышленник может использовать его, - это crashdump - когда JVM падает и генерирует дамп памяти - вы сможете увидеть пароль.

Это не обязательно злонамеренный внешний злоумышленник. Это может быть пользователь службы поддержки, который имеет доступ к серверу для целей мониторинга. Он мог заглянуть в аварийный диск и найти пароли.

ACV 25 апр. 2018, в 23:16

1

ch = ноль; ты не можешь сделать это
Yugerten 02 дек. 2018, в 22:56
0

@Yugerten хорошая мысль. Это просто псевдокод, но да
ACV 02 дек. 2018, в 23:13

12

Строка в java неизменна. Поэтому всякий раз, когда создается строка, она остается в памяти до тех пор, пока не будет собрана мусор. Поэтому любой, кто имеет доступ к памяти, может прочитать значение строки.
Если значение строки будет изменено, это приведет к созданию новой строки. Таким образом, как исходное значение, так и измененное значение остаются в памяти, пока не будет собран мусор.

С помощью массива символов содержимое массива может быть изменено или удалено после того, как будет применена цель пароля. Исходное содержимое массива не будет найдено в памяти после его модификации и даже до того, как будет запущена сборка мусора.

Из-за проблемы безопасности лучше хранить пароль в виде массива символов.

Saathvik 28 июль 2017, в 08:23

0

Использование пароля в String или Char [] всегда является спорным, потому что оба подхода имеют свою собственную полезность и недостаток. Это зависит от потребности, которую пользователь ожидает выполнить. Ниже строки могут помочь лучше понять, когда использовать этот контейнер: поскольку String в java неизменен, всякий раз, когда кто-то пытается манипулировать вашей строкой, он создает новый Object и существующий остается без изменений. Это можно рассматривать как преимущество для хранения пароля как String, но с другой стороны. Объект String остается в памяти даже после использования. Так что, если кто-нибудь получит место в памяти, вы сможете легко отслеживать свой пароль, хранящийся в этом месте. Придя к Char [], который изменен, но он имеет преимущество, что после использования программист может Explicilty очистить массив или переопределить значения. Так что после того, как он не используется, он очищается, и никто не может знать о том, что вы сохранили.

Исходя из вышеприведенных обстоятельств, можно получить идею о том, следует ли идти со String или Char [] по их требованию.

Благодарю.

Neeraj 03 дек. 2018, в 08:15

Ещё вопросы

Можете ли вы привести источник предложения? Я не могу придумать причину, по которой char[] был бы более безопасным, за исключением, может быть, самых любительских угроз.
@Viruzzo взгляните на Javadocs. Метод getText() в JPasswordField не рекомендуется в пользу getPassword() «по соображениям безопасности».
@ Dogbane Я просто сомневался в «соображениях безопасности»; Ответ Джона Скита прояснил ситуацию.
Если добавить ActionListener к JPasswordField (вероятно , обычный случай), вы получите пароль String , как «команда» действий. Он также может застрять в базовом Document . Но, тем не менее, это бессмысленный тик в списке бессмысленных тиков вашего работодателя.
символ []? Почему не байт []? В любом анализаторе дампа / кучи потоков вы можете видеть строки, и это легко заметить, если один содержит пароль. Для char [] это сложнее, но, тем не менее, если ваш анализатор кучи будет отображать символы один за другим, он будет таким же, как String. Для байта [] это маловероятно.
Также, если вы видите класс Console (Jdk 6) по адресу -> docs.oracle.com/javase/7/docs/api/java/io/… , вы увидите то же самое, что метод readPassword всегда возвращает символ [] ,,
Я не эксперт, но может ли это быть связано с тем, что строки являются объектами и передаются по ссылке, создавая тем самым несколько экземпляров в памяти?
Просто для предоставления правильного сценария, в котором это могло бы иметь значение, в криминалистической практике общепринятым является обеспечение того, чтобы никакие компьютеры, требующие расследования, не отключались до того, как их память была выгружена, если они используют программное шифрование. Даже лучшая система шифрования должна поддерживать состояние, способное к дешифрованию.
@scottlafoy Оба объекта char[] и String будут передаваться по ссылке; отдельных значений char не будет. Когда объекты передаются по значению , а не по ссылке, создается несколько копий. Как правило, это не проблема, так как такие объекты обычно проектируются как маленькие.
Эту рекомендацию невозможно реализовать, и она сомнительна для стандартных Java-сервлетов: stackoverflow.com/questions/15016250/…
IMO суть не в том, что массивы символов по своей природе более безопасны, а в том, что вы можете стереть их (перезаписать символы), как только вы их используете, чтобы они не задерживались в памяти. Вы не можете сделать то же самое со строками, которые являются неизменными.
Для современного API, использующего пароли, я бы CharSequence , тогда вы можете использовать String или StringBuilder. Последнее может быть перезаписано. К сожалению, char [] не реализует CharSequence. Хотя хорошо иметь массив char, который вы можете очистить, часто API более высокого уровня предоставляют вам только Strings, и перед тем, как использовать string.toCharArray() только для удовлетворения API, вы можете передать строку напрямую.
Честно говоря, если вы разработчик и придерживаетесь позиции «это маловероятно, поэтому я не буду защищаться» с конфиденциальными данными, вам, возможно, придется найти новую профессию. Мы не можем защититься от каждого предполагаемого пробела в безопасности, но ... давай ... используя char [] вместо строки, в нескольких местах это не повредит твоей статистике, и я уверен, что твое руководство, и клиенты, не волнует Для тех, кто какое-то время был разработчиком, они знают, что безопасность - это постоянно меняющийся ландшафт, в котором невозможно быть «идеальным». По крайней мере, следуйте передовым практикам. О, и не ленитесь только потому, что вы чего-то не ожидаете.
@ Voo, но я сомневаюсь, что вы войдете через прямую запись в поток и объединение. каркас журналирования преобразует char [] в хороший вывод
@ Thr4wn Реализацией по умолчанию для toString является classname@hashcode . [C представляет char[] , остальное - шестнадцатеричный хеш-код.
Интересная идея. Я хотел бы отметить, что это не транспонирует в Scala, которая имеет значимую строку toString для массивов.
Я бы написал тип класса Password для этого. Это менее непонятно и сложнее случайно пройти где-нибудь.
@ Я согласен с bestsss. Ваша структура регистрации будет определять, как печатается массив char. Я думаю, что в большинстве сценариев будет напечатан массив символов.
Почему кто-то предположил, что массив char будет приведен как Object? Я не уверен, что понимаю, почему всем нравится этот ответ. Предположим, вы сделали это: System.out.println ("Password" .toCharArray ());
Учитывая, что реализация хеш- [C@5829428e Java для массивов не является безопасным хеш- [C@5829428e , злоумышленник, обнаруживший [C@5829428e в лог- [C@5829428e может, вероятно, взломать пароль, который он в любом случае получил, поэтому это обеспечивает незначительное преимущество в плане безопасности.
@ g.rocket Хэш-код для массива не зависит от содержимого массива, он фактически случайный: пример из сети
Это не причина, по которой char[] рекомендуется вместо String
Почему пароль хранится в незашифрованном виде? Он поступает в память из запроса (хранится в памяти в виде строки ??), а затем немедленно должен хэшироваться, сравниваться и отбрасываться, или если для другой системы необходимо получить внешнее хранилище, уже зашифрованное, а затем расшифрованное при использовании с использованием повернутого ключа? Я что-то здесь упускаю, пытаясь обдумать это?
Пароль не может храниться в незашифрованном виде - фактически хранится надежно зашифрованная и хешированная последовательность байтов, сгенерированная из пароля, который был 1) необработанным, 2) засоленным и 3) удлиненным. Давайте назовем эту последовательность байтов C. Тем не менее, где-то вдоль линии, открытый текст может быть обработан для соли / nonce / удлинения, а затем зашифрован для сравнения с C. Таким образом, лучший подход - всегда предполагать, что похожая на пароли вещь, которую мы собираемся держать, является открытым текстом и хранит его как можно дольше.
это именно ошибочная / фиктивная ссылка, о которой я говорю ниже в ответе Джона, это хорошо известный источник с большим количеством критики.
@bestass не могли бы вы также привести ссылку?
@bestass извините, но String довольно хорошо понятен и его поведение в JVM ... есть веские причины использовать char[] вместо String при работе с паролями безопасным способом.
еще раз, хотя пароль передается в виде строки из браузера на запрос как «строка», а не символ? так что независимо от того, что вы делаете, это строка, в какой момент она должна обрабатываться и отбрасываться, а не храниться в памяти?
@Dawesi - At which point - это зависит от приложения, но общее правило - делать это, как только вы получаете что-то, что должно быть паролем (открытым текстом или иным образом). Вы получаете его из браузера, например, как часть HTTP-запроса. Вы не можете контролировать доставку, но вы можете контролировать свое собственное хранилище, поэтому, как только вы его получите, поместите его в символ [], сделайте то, что вам нужно с ним сделать, затем установите все в '0' и позвольте gc вернуть его.
Не защищен по умолчанию. Если мы говорим о веб-приложении, большинство веб-контейнеров передают пароль в объект HttpServletRequest в виде открытого текста. Если версия JVM - 1.6 или ниже, она будет в постоянном пространстве. Если он в 1.7, он все еще будет читаемым, пока не будет собран. (Когда бы это ни было.)
@avgvstvs: строки не перемещаются автоматически в пространство permgen, это относится только к интернированным строкам. Кроме того, пространство permgen также подлежит сборке мусора, только по более низкой ставке. Реальная проблема с пространством permgen - это его фиксированный размер, и именно поэтому никто не должен бездумно вызывать intern() для произвольных строк. Но вы правы в том, что экземпляры String существуют в первую очередь (до тех пор, пока они не будут собраны), и превращение их в массивы char[] впоследствии не изменит их.
@Holger, см. Docs.oracle.com/javase/specs/jvms/se6/html/… "В противном случае создается новый экземпляр класса String, содержащий последовательность символов Unicode, заданную структурой CONSTANT_String_info; этот экземпляр класса является результатом строковый литерал. Наконец, вызывается метод intern нового экземпляра String. " В 1.6 JVM будет вызывать для вас intern, когда обнаружит идентичные последовательности.
@avgvstvs: это относится к записям константного пула класса, описывающим только строковые литералы. Пул констант класса содержит, как следует из названия, только константные строки, которые, очевидно, должны быть известны во время компиляции (как они могут появиться в файле класса в противном случае). Строки, созданные во время выполнения, т. Stringbuilder Через Stringbuilder или один из конструкторов String , не затрагиваются.
@Holger, вы правы, я объединил пул констант и пул строк, но также неверно, что пространство permgen применяется только к внутренним строкам. До версии 1.7 constant_pool и string_pool находились в пространстве permgen. Это означает, что единственным классом Strings, которые были выделены для кучи, были, как вы сказали, new String() или StringBuilder.toString() Я управлял приложениями с большим количеством строковых констант, и в результате мы получили много пермиганового ползучести. До 1.7.
@avgvstvs: ну, строковые константы, как и JLS-мандаты, всегда интернированы, поэтому утверждение о том, что интернированные строки оказались в пространстве permgen, неявно применяется к строковым константам. Единственное отличие состоит в том, что строковые константы были созданы в пространстве permgen в первую очередь, тогда как вызов intern() для произвольной строки может привести к выделению эквивалентной строки в пространстве permgen. Последний мог получить GC, если бы не было буквальной строки с тем же содержимым, разделяющим этот объект ...
Однако следует отметить, что некоторая информация о строке все еще просочилась (если память может быть проверена): длина пароля. Со строкой в стиле C у нас может быть только буфер памяти, и как только он обнуляется, мы не знаем, какова была длина исходной строки. С char[] в Java, мы делаем. Если злоумышленник может видеть память и видит, что getPassword () возвращает char[1] , это указывает на гораздо более легкую цель грубой силы, чем тот, который возвращает char[16] .
Разве пароль не передается в виде строки из браузера? ака в памяти как строка перед началом?
Я бы заменил «совершенно бесполезный» на «просто незначительное улучшение безопасности». Например, вы можете получить доступ к дампу памяти, если у вас есть доступ на чтение к каталогу tmp, плохо настроенная машина и сбой в вашем приложении. В этом случае вы не сможете установить кейлоггер, но вы можете проанализировать дамп ядра.
Стирание незашифрованных данных из памяти, как только вы закончите, считается лучшей практикой, а не потому, что она надежна (это не так); но потому что это снижает уровень вашей угрозы. Атаки в реальном времени не предотвращаются этим; но поскольку он служит инструментом уменьшения ущерба, значительно сокращает объем данных, которые подвергаются обратной атаке на снимок памяти (например, копия памяти ваших приложений, которая была записана в файл подкачки или была прочитана из памяти, извлечена из памяти) с работающего сервера и перешел на другой, прежде чем его состояние не удалось).
Я склонен согласиться с позицией этого ответа. Рискну предположить, что большинство нарушений безопасности имеют место на гораздо более высоком уровне абстракции, чем биты в памяти. Несомненно, в системах сверхзащищенной защиты, вероятно, существуют сценарии, в которых это может вызывать серьезную озабоченность, но серьезное понимание на этом уровне избыточно для 99% приложений, в которых используются .NET или Java (поскольку это связано со сборкой мусора).
может быть, localhost - это не то, что вы хотите защитить. Возможно, вы создали программу, запущенную на незащищенном клиенте, и вам нужен пароль для доступа к базе данных. Если вы не доверяете клиенту и пытаетесь защитить базу данных, хороший совет - стереть пароли из памяти.
@RolfRander, что еще хуже, вы не должны вводить пароли на ненадежных клиентах - используйте одноразовый ключ (не уверен, что это правильный термин, пароль, который работает только один раз и блокируется после этого использования).
большинство сайтов используют пароли для входа в систему. Номер вашей кредитной карты и защитные цифры также являются своего рода паролем.
@RolfRander ничего не говорит о сайтах, которые требуют ненадежного клиента, если пользователь решает использовать скомпрометированную систему, то вы ничего не можете сделать, чтобы защитить его от последствий.
как я уже сказал, суть может заключаться в защите сервера, а не клиента. Мой пример с примером веб-сайта заключается в том, что существует множество служб, использующих пароли (по разным причинам, хотя очевидно, что другие механизмы будут более безопасными. Суть в том, что сценарий, в котором вы хотите защитить сервер, не будет доверять клиенту и используют пароли, хранение паролей в символе [] - это разумный выбор, и это на самом деле не надуманный сценарий.
@RolfRander почему-то мне кажется, что вы используете единый логин для всех своих клиентов и не имеете никакой защиты / проверки на стороне сервера. Вы обязаны убедиться, что пользователь не может скомпрометировать базу данных (ограничения доступа и проверка на стороне сервера), а пользователи должны убедиться, что его учетная запись не может быть взломана (его пароль).
Абсолютно. Но чтобы пользователь мог убедиться, что его пароль не скомпрометирован, программное обеспечение, обрабатывающее пароль, должно позаботиться о том, чтобы уменьшить вероятность того, что вредоносная программа (на клиенте) сможет получить пароли из памяти клиентского приложения. Для этого я считаю, что хранить пароль в символе [] и перезаписывать его впоследствии - хороший совет.
Я бы сказал, что если кто-то понимает, что стоит за символом и против него, то он более склонен думать о безопасности при настройке серверов. Не думать - это то, что обычно вводит дыры в безопасности.
После проникновения Heartbleed в серверную память и выявления паролей я заменил бы строку «просто незначительное улучшение безопасности» на «абсолютно необходимо не использовать String для паролей, а вместо этого использовать char []».
@PetervdL обиделась, потому что кому-то пришла в голову прекрасная идея, что повторное использование памяти дешевле, чем выделение новой (очищенной) памяти, вы не можете повторно использовать строку в Java, просто надеетесь, что никому никогда не пришла идея поместить ваш символ [] в список повторного использования для лучшая производительность.
Ты упускаешь суть полностью, Джозефкс. Дело в том, что сердцебиение позволило удаленное чтение памяти процесса, что до сих пор считалось маловероятным. В сочетании с использованием строк Java пароли легко раскрываются. Char [] позволяет разработчику исключать пароли, String даже не дает такой возможности. Char [] + сердцебиение может быть вредным, если кодер испортит. String + heartbleed == определенно всегда вредно.
@PetervdL heartbleed позволял только чтение определенной повторно используемой коллекции буферов (используемой как для критичных для безопасности данных, так и для сетевого ввода-вывода без очистки между ними - по соображениям производительности), вы не можете комбинировать это со строкой Java, поскольку они по своей конструкции не предназначены для повторного использования , Также вы не можете читать в случайную память, используя Java, чтобы получить содержимое строки. Проблемы с языком и дизайном, которые приводят к сердцебиению, просто невозможны с Java Strings.
@PetervdL тогда, пожалуйста, не ссылайтесь на «ошибку heartbleed в сочетании со строками Java», и я уверен, что большинство из тех, что я упомянул в связи с heartbleed, было правильным, разработчики libreSSL довольно подробно узнали, почему OpenSSL был кошмаром безопасности. «Может» быть способом использовать ошибку в JIT для обхода встроенных Javas-проверок диапазона или автоматического обнуления памяти объекта, и кто-то может «вызвать» это из удаленного местоположения без сбоя JVM, однако это не имеет ничего общего с heartbleed, и при этом любая ошибка в JVM не будет настолько простой или оптимизированной для эксплойтов.
@PetervdL Это не просто «специфично» для ошибки Heartbleed; это совершенно неприменимо. Я предлагаю вам не ссылаться на Heartbleed в качестве оправдания мер безопасности, пока вы не поймете его суть лучше. Спасибо josefx за то, что он пролил свет на этот часто неправильно понимаемый вопрос.
Есть еще один случай - сбой JVM и создание дампа памяти.
Почему вы храните пароль в памяти? внешняя система? запрос web или api отправляет строку (по иронии судьбы), так что в любом случае он находится в памяти. Я бы никогда не сохранил пароль для входа в другую переменную (кроме той, которая только для чтения и отправлена на сервер), незашифрованной по какой-либо причине? Должны ли веб-запросы преобразовывать буквы в их эквивалентные числа для отправки, чтобы переменная запроса была числом? Как нет типа данных char из браузера?
И для полноты картины давайте не будем забывать о недавних атаках на кризисы и распад: meltdownattack.com, которые можно использовать через веб-браузер или среду общего хостинга.
«Поскольку любой, кто имеет доступ к дампу памяти, может найти пароль открытым текстом» Как я могу получить доступ к дампу памяти и найти там пароль?
@MohitKanwar Запустить дамп памяти через jmap или jvisualvm. Если установлено значение heapdumponoutofmemoryerror, вы можете запустить удаленный дамп кучи, вызвав состояние нехватки памяти. Получив дамп, вы можете просмотреть его с помощью jvisualvm или инструмента анализа памяти eclipse или инструментов командной строки и проверить все объекты и их значения.
Я бы не сказал, что проблема в том, что ваши ссылки будут или не будут "убегать". Просто строки остаются неизмененными в памяти в течение некоторого дополнительного времени, в то время как char[] может быть изменено, и тогда не имеет значения, будет ли он собран или нет. И поскольку интернирование строк должно быть сделано явно для не-литералов, это то же самое, что сказать, что на char[] может ссылаться статическое поле.
пароль в памяти не является строкой из сообщения формы?
Одним из способов решения этой PrivateKey является использование реализации PrivateKey , которая фактически не загружает свой частный контент в память: например, через аппаратный токен PKCS # 11. Возможно, программная реализация PKCS # 11 могла бы позаботиться об очистке памяти вручную. Возможно, лучше использовать что-то вроде хранилища NSS (которое разделяет большую часть своей реализации с PKCS11 хранилища PKCS11 в Java). KeychainStore (хранилище ключей OSX) загружает все содержимое закрытого ключа в свои экземпляры PrivateKey , но в этом нет необходимости. (Не уверен, что делает WINDOWS-MY KeyStore в Windows.)
@ Bruno Конечно, аппаратные токены не страдают от этого, но как насчет ситуаций, когда вы более или менее вынуждены использовать программный ключ? Не каждое развертывание имеет бюджет, чтобы позволить себе HSM. Программные хранилища ключей в какой-то момент должны будут загрузить ключ в память, поэтому, по крайней мере, нам нужно, по крайней мере, дать возможность очистить память снова.
Безусловно, мне было просто интересно, могут ли некоторые программные реализации, эквивалентные HSM, вести себя лучше с точки зрения очистки памяти. Например, при использовании client-auth с Safari / OSX процесс Safari фактически никогда не видит закрытый ключ, базовая библиотека SSL, предоставляемая ОС, напрямую связывается с демоном безопасности, который запрашивает у пользователя использование ключа из цепочки для ключей. Хотя все это делается в программном обеспечении, подобное разделение, подобное этому, может помочь, если подписывание делегировано другому объекту (даже программному), который лучше разгрузит или очистит память.
@Bruno: интересная идея, дополнительный слой косвенности, который заботится об очистке памяти, действительно решил бы это прозрачно. Написание оболочки PKCS # 11 для хранилища ключей программного обеспечения уже может помочь?
Лучше также сделать что-нибудь, чтобы предотвратить печать длины пароля, которую мы получаем из '***********' .
@chux вы можете использовать символ нулевой ширины, хотя это может быть более запутанным, чем полезным. Невозможно изменить длину массива char без использования Unsafe. ;)
Из-за дедупликации строк в Java 8, я думаю, что-то подобное может быть довольно разрушительным ... вы можете в конечном итоге очистить другие строки в вашей программе, которые случайно имеют то же значение пароля String. Вряд ли, но возможно ...
@jamp Java 9, как ожидается, будет иметь эту функцию, а также компактную строку (т.е. с использованием байта []]). Я не верю, что это происходит в Java 8.
@PeterLawrey Он должен быть включен с аргументом JVM, но он есть. Можете прочитать об этом здесь: blog.codecentric.de/en/2014/08/…
Но это может быть и в сравнении char [], где-то мы будем делать то же самое и при проверке пароля. Так как же char [] лучше string?
Вы абсолютно правы, ошибку можно совершить в любом случае. Знание этой проблемы является наиболее важным здесь, учитывая, что в Java не существует явного метода сравнения паролей для паролей на основе строк или символов char []. Я бы сказал, что искушение использовать compare () для Strings - хорошая причина, чтобы использовать char []. Таким образом, вы, по крайней мере, можете контролировать, как выполняется сравнение (без расширения String, что очень болезненно).
Кроме того, сравнивать незашифрованные пароли в любом случае неправильно, соблазн использовать Arrays.equals для char[] такой же высокий, как и для String.equals . Если кому-то было интересно, был выделенный класс ключей, инкапсулирующий действительный пароль и заботящийся о проблемах - о, подождите, у реальных пакетов безопасности есть выделенные классы ключей, эти вопросы и ответы только о привычке вне их, скажем, например, JPasswordField , используйте char[] вместо String (где фактические алгоритмы используют byte[] любом случае).
Программное обеспечение, связанное с безопасностью, должно делать что-то вроде sleep(secureRandom.nextInt()) перед тем, как отклонить попытку входа в систему, так как это не только устраняет возможность синхронизации атак, но и противодействует попыткам перебора.
Это избыточно. Этот ответ является точной версией ответа, написанного @SrujanKumarGulla stackoverflow.com/a/14060804/1793718 . Пожалуйста, не копируйте и не дублируйте один и тот же ответ дважды.
В чем разница между 1.) System.out.println («Символьный пароль:» + charPassword); и 2.) System.out.println (charPassword); Потому что он дает то же «неизвестное», что и вывод.
Почему строковая дедупликация страшна? Это применимо только в том случае, если по крайней мере две строки имеют одинаковое содержимое, поэтому какая опасность может возникнуть, если эти две уже идентичные строки совместно используют один и тот же массив? Или давайте спросим наоборот: если нет дедупликации строк, какое преимущество возникает из-за того, что обе строки имеют отдельный массив (с одинаковым содержимым)? В любом случае будет существовать массив этого содержимого, по крайней мере, до тех пор, пока живая самая длинная строка этого содержимого ...
@ Держите все, что находится вне вашего контроля, - потенциальный риск ... например, если два пользователя имеют один и тот же пароль, эта замечательная функция будет хранить их обоих в одном символе [], давая понять, что они одинаковы, не уверен, что это так. огромный риск, но все же
Если у вас есть доступ к памяти кучи и к обоим экземплярам строк, не имеет значения, указывают ли строки на один и тот же массив или на два массива с одинаковым содержимым, каждый из которых легко найти. Тем более, что это все равно не имеет значения. Если вы находитесь на этом этапе, вы получаете оба пароля, одинаковые или нет. Фактическая ошибка заключается в использовании незашифрованных паролей в виде открытого текста.
@Holger, чтобы подтвердить пароль, он должен быть в виде открытого текста в памяти в течение некоторого времени, 10 мс, даже если он просто создает соленый хеш из него. Затем, если случится так, что в памяти останутся два идентичных пароля, даже на 10 мс, может возникнуть дедупликация. Если это действительно интерны строк, они хранятся в памяти гораздо дольше. Система, которая не перезагружается месяцами, будет собирать множество из них. Просто теоретизирую.
Кажется, у вас есть фундаментальное недопонимание в отношении дедупликации строк. Он не «интернирует строки», все, что он делает, это позволяет строкам с одинаковым содержимым указывать на один и тот же массив, что фактически уменьшает количество экземпляров массива, содержащих пароль в виде открытого текста, поскольку все, кроме одного экземпляра массива, могут быть восстановлены и перезаписаны другими объектами немедленно. Эти строки все еще собираются как любая другая строка. Может быть, это поможет, если вы понимаете, что дедупликация фактически выполняется сборщиком мусора, только для строк, которые пережили несколько циклов GC.
Они будут только GC'd, если JVM в вопросе> 1.6. До 1.7 все строки хранились в permgen.
@avgvstvs: «все строки были сохранены в permgen» - это просто неправильно. Там хранились только интернированные строки, и если они не были получены из строковых литералов, на которые ссылается код, они все равно были собраны сборщиком мусора. Просто подумай об этом. Если в JVM до 1.7 строки обычно никогда не собирались GCed, как могло бы выжить какое-либо Java-приложение дольше нескольких минут?
@ Холгер Это ложно. Внутренние strings И пул String (пул ранее использованных строк) были ОБА сохранены в Пермгене до 1.7. Также см. Раздел 5.1: docs.oracle.com/javase/specs/jvms/se6/html/… JVM всегда проверяла Strings на наличие одинакового ссылочного значения и String.intern() FOR YOU. В результате каждый раз, когда JVM обнаруживает идентичные строки в constant_pool или куче, она перемещает их в permgen. И я работал над несколькими приложениями с "creeping permgen" до 1.7. Это была настоящая проблема.
Итак, резюмируем: до 1.7 строки начинались в куче, когда они использовались, они помещались в constant_pool который был расположен в permgen, и затем, если строка использовалась более одного раза, она была интернирована.
@avgvstvs: нет «пула ранее использованных строк». Вы бросаете совершенно разные вещи вместе. Существует один пул строк времени выполнения, содержащий строковые литералы и явно интернированную строку, но другого нет. И у каждого класса есть свой постоянный пул, содержащий константы времени компиляции . Эти строки автоматически добавляются в пул времени выполнения, но только эти , а не все строки.
Это просто бессмысленная перефразировка ответа Скита.
@fallenidol Совсем нет. Читайте внимательно, и вы найдете различия.
@Yugerten хорошая мысль. Это просто псевдокод, но да

Jon Skeet · Accepted Answer · 2012-01-16T14-33-00.000Z

3661

Лучший ответ

Строки неизменяемы. Это означает, что после создания String, если другой процесс может сбрасывать память, нет способа (кроме reflection), вы можете избавиться от данных, прежде чем сбор мусора начнется.

С помощью массива вы можете явно стереть данные после того, как вы закончите с ним. Вы можете переписать массив всем, что угодно, и пароль не будет присутствовать нигде в системе, даже до сбора мусора.

Итак, это проблема безопасности, но даже использование char[] только уменьшает окно возможностей для злоумышленника и только для этого конкретного типа атаки.

Как отмечалось в комментариях, возможно, что массивы, перемещаемые сборщиком мусора, оставят бездействующие копии данных в памяти. Я считаю, что это специфично для реализации - сборщик мусора может очистить всю память, как есть, чтобы избежать такого рода вещей. Даже если это так, есть еще время, в течение которого char[] содержит фактические символы в качестве окна атаки.

Jon Skeet 16 янв. 2012, в 14:33

113

Насколько я понимаю, что при объеме реорганизации памяти, который может быть выполнен во время выполнения, копии даже char[] могут остаться в памяти и никогда не очищаться до тех пор, пока эта память не будет повторно использована. Хотя я не знаю источника, который это подтверждает. В любом случае, я сомневаюсь, что строка будет очищена во время GC, а скорее во время перераспределения объекта в этой памяти.
Mark Peters 16 янв. 2012, в 14:30
31

@Mark Peters: Если GC включится, перед тем как очистить массив символов, у вас будет еще одна копия. Но эта копия, по крайней мере, находится в интенсивно используемой области памяти, поэтому высока вероятность, что она быстро перезаписывается.
Mnementh 16 янв. 2012, в 14:32
107

@ Xeon06: В .NET есть SecureString которая еще лучше - но относительно болезненная в использовании.
Jon Skeet 16 янв. 2012, в 20:42
3

Если GC вызывает перемещение char[] , старый может существовать некоторое время, но, как правило, будет в месте, которое «естественно» будет перезаписано перед следующим GC. Проблема со String заключается в том, что ссылки на вещи иногда могут держаться намного дольше, чем предполагалось (например, очистка некоторых реализаций List<T> может сбрасывать счетчик без стирания резервного хранилища). Такие вещи могут привести к тому, что ссылка на строку будет задерживаться на долгое время после того, как все «полезные» ссылки будут отброшены.
supercat 29 нояб. 2014, в 00:39
2

Если проблема заключается в неизменности, можем ли мы вместо этого использовать StringBuilder или StringBuffer ?
Andy Res 05 янв. 2015, в 16:24
2

@ Энди: Одна из проблем заключается в том, что значения могут быть скопированы прозрачно, если вы не будете осторожны - так что все еще трудно действительно уничтожить вещи. Но я должен подчеркнуть, что я не эксперт по безопасности.
Jon Skeet 05 янв. 2015, в 21:32
7

Ответ охватил все, но только для дополнения: строки Java могут храниться в пуле (для указанного случая см. Метод intern () в String, но также могут быть и зависимые от реализации пулы). Пул, как правило, представляет собой кэш фиксированного размера, который выводит записи только тогда, когда он заполнен, возможно, с использованием некоторой схемы LRU. Все это означает, что строки могут в конечном итоге сохраняться в течение достаточно долгого времени, не будучи затронутыми сборщиками мусора.
Alexandre Pereira Nunes 23 май 2015, в 16:22
82

Мы скрываем тот факт, что злоумышленник, который может прочитать эти данные, уже имеет доступ к памяти для чтения в вашей системе? Кажется, это было бы гораздо более серьезным беспокойством, так как выполнение этого char [] вместо String похоже на мочу в океане.
corsiKa 12 июнь 2015, в 19:40
18

@corsika: Как я уже упоминал в ответе, это сокращает один конкретный вектор атаки, вот и все. Это усложняет задачу для атакующего.
Jon Skeet 12 июнь 2015, в 19:42
1

@JonSkeet Как можно получить пароли (или любую другую строку), хранящуюся в пуле строк? Я перепробовал много форумов, но не смог найти способ.
Mohit Kanwar 01 июль 2015, в 05:37
3

@CodeFighter: Первый очевидный способ: выгрузить всю память процесса, а затем искать что-нибудь «похожее на строку». (После того, как вы определили, что составляет одну строку, все остальное легко, поскольку в каждом строковом объекте будет ссылка на тип строки.)
Jon Skeet 01 июль 2015, в 05:56
5

Дополнительную информацию о хранении паролей в строках в Java можно найти на сайте Security Stackexchange: security.stackexchange.com/questions/6753/…
Rolf 14 июль 2015, в 08:56
2

Если процесс имеет доступ к памяти вашего приложения, то это уже брешь в безопасности, верно?
Yeti 01 сен. 2015, в 11:26
2

@Yeti: Да, но это не так, как черно-белое. Если они могут получить только снимок памяти, вы хотите уменьшить ущерб, который может нанести этот снимок, или уменьшить окно, в течение которого может быть сделан действительно серьезный снимок.
Jon Skeet 01 сен. 2015, в 11:47
0

Как насчет CharSequence ? это почти так же, как String ? Я только что увидел, что у CharSequence меньше методов для работы.
Milixyron 31 май 2016, в 20:53
2

@Milixyron: Ну, CharSequence - это просто интерфейс, который реализует String . Это не дает возможности очистить его, что приводит к тем же проблемам.
Jon Skeet 01 июнь 2016, в 09:46
4

Распространенным методом атаки является запуск процесса, который выделяет много памяти, а затем сканирует ее на предмет оставшихся полезных данных, таких как пароли. Процесс не нуждается в волшебном доступе к пространству памяти другого процесса; он просто полагается на другие процессы, умирающие без предварительной очистки конфиденциальных данных, а ОС также не очищает память (или буферы страниц) перед тем, как сделать ее доступной для нового процесса. Удаление паролей, хранящихся в расположениях char[] обрезает эту линию атаки, что невозможно при использовании String .
Ted Hopp 05 сен. 2016, в 19:11
1

Как бы кто-нибудь вырвал String из сборки мусора?
Ungeheuer 08 фев. 2017, в 05:12
1

@Adrian: с инструментами для сброса памяти процесса. Они существуют практически для любой платформы. Да, для начала вам необходимо иметь достаточный доступ к компьютеру, но это все равно увеличивает количество атак, которые вы можете выполнять.
Jon Skeet 08 фев. 2017, в 06:41
1

@Ted Hopp: единственное препятствие - найти операционную систему, которая не очищает память, прежде чем сделать ее доступной для нового процесса ...
Holger 09 март 2017, в 09:59
1

@ Хольгер - Вы имеете в виду, как Windows или Linux? И давайте не будем забывать области подкачки на жестких дисках. Любая ОС, которая стерла все это для каждого процесса, будет медленно сканироваться, если у нее не будет специальной аппаратной поддержки. Процесс, получающий память, очищает ее, если это то, что ему нужно. ( Разница между malloc и calloc , например, заключается в том, получаете ли вы неинициализированный блок памяти или тот, который был очищен. Вероятно, программа перехвата данных не будет использовать calloc .)
Ted Hopp 09 март 2017, в 16:53
2

@Ted Хопп: Я не могу говорить за Linux, но Windows , делает чистые страницы памяти. Непонятно, почему это вообще должно быть медленным, это происходит один раз для каждой выделенной страницы, и это даже не должно происходить при выделении ресурсов, но при первом фактическом использовании, хотя также есть фоновая очистка заранее неиспользуемых страниц, когда ЦП циклы бесплатны. Причина как раз в безопасности. Это не влияет на разницу между malloc и calloc поскольку они не являются операционной системой, функциями библиотеки C. Таким образом, malloc может вернуть ненулевую память, которую ранее освободила та же программа…
Holger 09 март 2017, в 17:22
1

@Holger - Интересно. Кажется, что Windows немного усилила безопасность. База данных CVE содержит большой список эксплойтов памяти для Windows XP и Windows 7 . Кроме того, есть интересное сообщение в блоге « Как читать и писать в памяти других процессов» в Windows и Linux.
Ted Hopp 09 март 2017, в 18:21
0

@Ted Hopp: ну, этот блог использует явный доступ к памяти процессов других процессов, которая должна (и обязательно должна) проверяться доступом и не будет работать, если вы попытаетесь прочитать память привилегированного процесса. Это отличается от попыток найти случайно оставленные артефакты во вновь выделенной памяти. Насколько я понимаю, ошибки безопасности также не связаны с артефактами в распределениях, однако в Windows достаточно других ошибок…
Holger 09 март 2017, в 18:29
0

Привет, @JonSkeet, когда вы говорите о том, что нет способа (кроме рефлексии) избавиться от данных до того , как начнется сборка мусора. Вы сказали, что причина в том, что строки неизменяемы , это связано с run-time constant pool ? или у вас есть документ для глубокого объяснения этого?
JIE WANG 26 июнь 2017, в 17:06
0

@JIEWANG: Не особенно - мы не говорим о константах здесь ... мы говорим о строках, которые были созданы, вероятно, из пользовательского ввода.
Jon Skeet 26 июнь 2017, в 18:09
0

@JonSkeet - В этом вопросе stackoverflow.com/questions/22397861/… большинство ответов говорят, что неизменность String очень важна для безопасности, что противоположно вашему ответу здесь. Их «аргументация» - строки часто используются для хранения соединений, паролей и т. Д., А неизменность предотвращает их изменение. Они не упоминают, как изменение изменяемого строкового значения может быть проблемой безопасности. Там нет упоминания о методах, которые могут быть использованы для изменения изменяемых строк. Не могли бы вы уточнить? Благодарю.
MasterJoe2 25 июль 2018, в 17:55
0

@ testerjoe2: Я бы сказал, разные проблемы. Строковая неизменность отлично подходит для того, чтобы убедиться, что в изолированной песочнице (отражение запрещено и т. Д.) Вы можете передавать строки в произвольный код, не беспокоясь о том, что они будут изменены. char[] хорош для очистки содержимого памяти, чтобы предотвратить «слежку» за ним позже неохраняемым кодом.
Jon Skeet 25 июль 2018, в 21:24
0

Как бы вы тогда обработали пароль, который передается в виде строки из браузера в области запроса, где хакер будет искать (иначе он в памяти как строка)? разве это не победит весь смысл этого?
Dawesi 05 авг. 2018, в 19:40
0

@Dawesi: Да, это не всегда возможно рассматривать как char[] .
Jon Skeet 06 авг. 2018, в 05:55
0

Уже много комментариев, но есть также требование безопасности, чтобы конфиденциальные данные не регистрировались. Например, в случае сбоя вашего серверного узла вы обычно получаете HeapDump. Вы можете найти строки пароля в этом HeapDump, см. Eclipse MAT. Но если вы используете char[] и перезаписываете все элементы после того, как прочитали его, вы фактически удаляете пароль из памяти и, следовательно, из HeapDump. И HeapDump обычно хранятся в NAS компании, так что ... Это то, что нужно сделать и для других конфиденциальных данных, таких как номера кредитных карт и т. Д.
user1485864 06 сен. 2018, в 12:10
1

@JonSkeet А для тех, кто может опоздать на вечеринку или просто почитать, как я, обратите внимание, что класс SecureString больше не должен использоваться .
code_dredd 13 нояб. 2018, в 23:53

Показать ещё 30 комментариев