6
假設有一個保存純文本密碼的字符串變量。有人可以從Java應用程序竊取密碼嗎?
是否有任何使用內存轉儲讀取此密碼的可能性。 (假設使用作弊引擎。)我對這個JVM的東西感到困惑。 JVM是否爲此提供了某種保護。如果沒有什麼是我需要用來避免這種「偷竊」的做法。
實際的威脅是木馬;將內存轉儲的段發送給外部方。
A
回答
11
如前所述,是的,任何人都可以解壓密碼,以各種方式。加密密碼並不會真正起到幫助作用 - 如果它被應用程序解密,那麼解密後的表單也會出現在某個位置,再加上解密密鑰(或代碼)本身就成爲一個漏洞。如果它以加密形式發送到其他地方,那麼只知道加密表單足以欺騙交易,所以這也沒有多大幫助。
基本上,只要「攻擊者」也是「發件人」,你最終會被破解 - 這就是爲什麼音樂和視頻行業無法讓DRM工作。
我建議你拿起一份Applied Cryptography並閱讀第一部分「密碼協議」。即使沒有深入研究真正的密碼學數學,這也會讓你對這個領域的各種設計模式有一個很好的概述。
7
如果您在應用程序中以純文本形式保存密碼,則無論您使用的語言或運行時如何,都可以通過播放內存轉儲來讀取密碼。
要減少發生這種情況的可能性只有在您確實需要時纔將密碼保存爲純文本,然後轉儲或加密它。這裏需要注意的一點是,JPasswordField返回一個char []而不是一個字符串。這是因爲你無法控制字符串何時消失。雖然您無法控制char []何時消失,但在完成密碼後可以使用垃圾填充它。
我說減少,因爲這不會阻止某人。只要密碼在內存中就可以恢復,並且由於解密也是可交付成果的一部分,所以密碼也可能被破解,從而使密碼全部打開。
+0
是的,for(char nextChar:pw)nextChar = 0; // 哪一個可能不行,請注意:final char []不是最終的 – 2009-10-02 08:52:19
+0
您必須使用normal循環而不是foreach。是的,值得說明的是最終適用於數組的引用而不是值。 – 2009-10-02 09:01:22
2
如果程序知道密碼,任何使用該程序的人都可以提取密碼。
+3
任何人都有足夠的技術熟練...... – 2009-10-02 09:51:52
2
從理論上講,你可以只把它掛到調試器...設置斷點......和閱讀字符串內容
4
此無關的Java - 完全相同的問題(如果它真的是一個)也不存在任何語言編寫的應用程序:
- 如果可執行文件包含一個密碼,無論怎樣混淆或加密,每個有權訪問該可執行文件的人都可以找到密碼。
- 如果應用程序臨時知道密碼或密鑰(例如,作爲網絡身份驗證協議的一部分),那麼任何能夠觀察應用程序執行內存的人都可以找到密碼。
後者通常不被認爲是一個問題,因爲現代操作系統不允許任意應用程序觀察對方的內存,並且攻擊通常依賴於不同的攻擊向量。
+0
如果你不知道它並且開發你的系統就好像「加密的」鍵確實是安全的那樣,這是一個問題。 – 2009-10-02 10:50:26
相關問題
- 1. 某人有可能竊取我的ASP.NET網頁源代碼嗎?
- 2. android/iPhone應用程序可以竊取你的聯繫人和短信?
- 3. 我可以使用密碼保護應用程序嗎?
- 4. 信息可以通過耳機插孔被後臺應用程序竊取嗎?
- 5. Cocoa應用程序的可執行文件可以從調用者那裏竊取焦點嗎?
- 6. Ruby應用程序可以調用Java代碼嗎?
- 7. 我可以在Java應用程序中集成android代碼嗎?
- 8. Can Electron應用程序可以集成Java代碼嗎?
- 9. 應用程序可以使用android安全機制(pin碼,模式,密碼...)嗎?
- 10. LDAP密碼重置,但我沒有從Java應用程序的舊密碼
- 11. 我的應用程序竊取重點
- 12. difflib可以用來製作剽竊檢測程序嗎?
- 13. 有人可以解釋這個java程序的算法嗎?
- 14. Android應用程序可以從其他應用程序獲取信息嗎?
- 15. 用戶可以從iPhone應用程序獲取資源嗎?
- 16. 是否可以從本機應用程序調用Java代碼?
- 17. 我可以從Facebook應用程序獲取用戶的手機號碼嗎?
- 18. 如何避免進程從C#應用程序竊取焦點?
- 19. 您可以暫停Java應用程序並從應用程序中獲取它的線程快照嗎?
- 20. 可以從使用java的Flash應用程序獲取cookie?
- 21. 有人可以破解我的zip文件密碼嗎?
- 22. 您可以從JETTY取消部署應用程序嗎?
- 23. 我們可以在web2py應用程序代碼中使用java代碼嗎?
- 24. 你可以從tomcat部署的應用程序中獲取源代碼嗎?
- 25. 任何人都可以提高我用Java編寫的應用程序嗎?
- 26. 我可以使用iPhone Enterprise應用程序的私人API嗎?
- 27. Swing:從其他應用程序竊取焦點(在OS X中可用)
- 28. 有人可以幫我僞代碼嗎?
- 29. 是否可以從Flash應用程序獲取顏色代碼?
- 30. 有人可以向我解釋應用程序池及其工作進程嗎?
我只想指出,迄今爲止所有的答案同樣適用於幾乎所有的語言,而不僅僅是Java。問題完全一樣。有些語言可能會比其他語言更容易或更難,但它們都具有相同的基本「漏洞」。 – 2009-10-02 10:46:30
如果這個「某人」無緣無故地訪問了JVM,那麼與堆檢查攻擊相比,您會更加擔心這些事情。大多數人會說'遊戲結束'。類似的SO問題在http://stackoverflow.com/questions/646224/how-does-one-store-password-hashes-securely-in-memory-when-creating-accounts – 2009-10-02 10:55:48
將密碼存儲在服務器中,並檢查它何時需要 – 2012-03-28 13:24:58