发布日期:2018-03-26
为什么密码中经常使用char[]而不是String?+ 查看更多
为什么密码中经常使用char[]而不是String?
+ 查看更多
发布日期:2018-03-10 14:28
分类:JAVA
浏览次数:132
在Swing中,密码字段有一个函数getPassword()(返回char[])替代了一般的getText()(返回String),同时我得到了一个建议,不要用String处理密码。为什么使用String会对密码的安全性构成威胁?使用char[]十分的不方便。
回答
String是不可变的。这就意味着一旦你创建了String对象,如果一个进程可以转储内存,那么除了反射之外,你没有办法在垃圾收集之前抛弃数据。
使用数组的话,你可以在使用完之后显式的擦除数据。在垃圾收集之前,你可以用任何数据覆盖它,它不会出现在系统的其他任何地方。
因此这里存在着一个安全问题,即时是使用了char[]也只是减少了攻击者的攻击机会,并且只是特定的攻击。
被垃圾收集移除的数组可能在内存中留下杂乱副本,我相信这种情况只是一种特定的实现,因为垃圾收集也许会清除所有的内存来避免这种事情的发生,但是即时是这样,依然存在着一段时间使得char[]包含着可作为攻击窗口的字符。