爲什麼SecureString沒有重載的構造函數？

Question

考慮以下幾點：

_securePassword = New SecureString() 
For Each character As Char In password 
    _securePassword.AppendChar(character) 
Next 

出人意料的是，the documentation似乎暗示這是「最佳實踐」的方式來填充SecureString與實際信息：

當創建從一個字符串的字符在-a時...

我的問題

爲什麼不包括New SecureString(password)？

這對於我來說似乎是純粹的鍋爐代碼。

Answer 1

的docs告訴你爲什麼：

一個SecureString的對象不應該從一個字符串構造，因爲敏感數據已經受到不變String類的內存持久的後果。構建SecureString對象的最佳方法是從一個字符一次性非託管源，例如Console.ReadKey方法。

所以基本上，你不應該在內存中的字符串，因爲這是不安全的。您無法保證字符串已從易受攻擊的內存中移除。

Answer 2

因爲那麼您嘗試保護的字符串已經作爲正常的String存在於內存中，否定將它作爲整個項目保存在SecureString之內的任何好處。