dwys0343

本文是來自 Sun 官方站點(diǎn)的一篇關(guān)于如何編寫安全的 Java 代碼的指南 , 開發(fā)者在編寫一般代碼時(shí)，可以參照本文的指南：

????????? 靜態(tài)字段
????????? 縮小作用域
????????? 公共方法和字段
????????? 保護(hù)包
?????????equals 方法
????????? 如果可能使對象不可改變
????????? 不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用
????????? 不要直接存儲(chǔ)用戶提供的數(shù)組
????????? 序列化
????????? 原生函數(shù)
????????? 清除敏感信息

靜態(tài)字段
????????? 避免使用非 final 的公共靜態(tài)變量
應(yīng)盡可能地避免使用非 final 公共靜態(tài)變量，因?yàn)闊o法判斷代碼有無權(quán)限改變這些變量值。
????????? 一般地，應(yīng)謹(jǐn)慎使用易變的靜態(tài)狀態(tài)，因?yàn)檫@可能導(dǎo)致設(shè)想中相互獨(dú)立的子系統(tǒng)之間發(fā)生不可預(yù)知的交互。

縮小作用域
作為一個(gè)慣例，盡可能縮小方法和字段的作用域。檢查包訪問權(quán)限的成員能否改成私有的，保護(hù)類型的成員可否改成包訪問權(quán)限的或者私有的，等等。

公共方法 / 字段
避免使用公共變量，而是使用訪問器方法訪問這些變量。用這種方式，如果需要，可能增加集中安全控制。
對于任何公共方法，如果它們能夠訪問或修改任何敏感內(nèi)部狀態(tài)，務(wù)必使它們包含安全控制。
參考如下代碼段，該代碼段中不可信任代碼可能設(shè)置 TimeZone 的值：

保護(hù)包
有時(shí)需要在全局防止包被不可信任代碼訪問，本節(jié)描述了一些防護(hù)技術(shù)：
????????? 防止包注入：如果不可信任代碼想要訪問類的包保護(hù)成員，可以嘗試在被攻擊的包內(nèi)定義自己的新類用以獲取這些成員的訪問權(quán)。防止這類攻擊的方式有兩種：
1.???????? 通過向 java.security.properties 文件中加入如下文字防止包內(nèi)被注入惡意類。

這會(huì)導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的 defineClass 方法會(huì)拋出異常，除非賦予代碼一下權(quán)限：

2.???????? 另一種方式是通過將包內(nèi)的類加入到封裝的 Jar 文件里。
（參看 http://java.sun.com/j2se/sdk/1.2/docs/guide/extensions/spec.html ）
???? 通過使用這種技巧，代碼無法獲得擴(kuò)展包的權(quán)限，因此也無須修改 java.security.properties 文件。
????????? 防止包訪問：通過限制包訪問并僅賦予特定代碼訪問權(quán)限防止不可信任代碼對包成員的訪問。通過向 java.security.properties 文件中加入如下文字可以達(dá)到這一目的：

這會(huì)導(dǎo)致當(dāng)試圖在包內(nèi)定義新類時(shí)類裝載器的 defineClass 方法會(huì)拋出異常，除非賦予代碼一下權(quán)限：

如果可能使對象不可改變
如果可能，使對象不可改變。如果不可能，使得它們可以被克隆并返回一個(gè)副本。如果返回的對象是數(shù)組、向量或哈希表等，牢記這些對象不能被改變，調(diào)用者修改這些對象的內(nèi)容可能導(dǎo)致安全漏洞。此外，因?yàn)椴挥蒙湘i，不可改變性能夠提高并發(fā)性。參考 Clear sensitive information 了解該慣例的例外情況。

不要返回指向包含敏感數(shù)據(jù)的內(nèi)部數(shù)組的引用
該慣例僅僅是不可變慣例的變型，在這兒提出是因?yàn)槌３Ｔ谶@里犯錯(cuò)。即使數(shù)組中包含不可變的對象（如字符串），也要返回一個(gè)副本這樣調(diào)用者不能修改數(shù)組中的字符串。不要傳回一個(gè)數(shù)組，而是數(shù)組的拷貝。

不要直接在用戶提供的數(shù)組里存儲(chǔ)
該慣例僅僅是不可變慣例的另一個(gè)變型。使用對象數(shù)組的構(gòu)造器和方法，比如說 PubicKey 數(shù)組，應(yīng)當(dāng)在將數(shù)組存儲(chǔ)到內(nèi)部之前克隆數(shù)組，而不是直接將數(shù)組引用賦給同樣類型的內(nèi)部變量。缺少這個(gè)警惕，用戶對外部數(shù)組做得任何變動(dòng)（在使用討論中的構(gòu)造器創(chuàng)建對象后）可能意外地更改對象的內(nèi)部狀態(tài)，即使該對象可能是無法改變的

序列化
當(dāng)對對象序列化時(shí)，直到它被反序列化，它不在 Java 運(yùn)行時(shí)環(huán)境的控制之下，因此也不在 Java 平臺(tái)提供的安全控制范圍內(nèi)。
在實(shí)現(xiàn) Serializable 時(shí)務(wù)必將以下事宜牢記在心：
?????????transient

在包含系統(tǒng)資源的直接句柄和相對地址空間信息的字段前使用 transient 關(guān)鍵字。 如果資源，如文件句柄，不被聲明為 transient ，該對象在序列化狀態(tài)下可能會(huì)被修改，從而使得被反序列化后獲取對資源的不當(dāng)訪問。

????????? 特定類的序列化 / 反序列化方法

為了確保反序列化對象不包含違反一些不變量集合的狀態(tài)，類應(yīng)該定義自己的反序列化方法并使用 ObjectInputValidation 接口驗(yàn)證這些變量。

如果一個(gè)類定義了自己的序列化方法，它就不能向任何 DataInput/DataOuput 方法傳遞內(nèi)部數(shù)組。所有的 DataInput/DataOuput 方法都能被重寫。注意默認(rèn)序列化不會(huì)向 DataInput/DataOuput 字節(jié)數(shù)組方法暴露私有字節(jié)數(shù)組字段。

如果 Serializable 類直接向 DataOutput(write(byte [] b)) 方法傳遞了一個(gè)私有數(shù)組，那么黑客可以創(chuàng)建 ObjectOutputStream 的子類并覆蓋 write(byte [] b) 方法，這樣他可以訪問并修改私有數(shù)組。下面示例說明了這個(gè)問題。
你的類 :

黑客代碼

????????? 字節(jié)流加密

保護(hù)虛擬機(jī)外的字節(jié)流的另一方式是對序列化包產(chǎn)生的流進(jìn)行加密。字節(jié)流加密防止解碼或讀取被序列化的對象的私有狀態(tài)。如果決定加密，應(yīng)該管理好密鑰，密鑰的存放地點(diǎn)以及將密鑰交付給反序列化程序的方式等。

????????? 需要提防的其他事宜

如果不可信任代碼無法創(chuàng)建對象，務(wù)必確保不可信任代碼也不能反序列化對象。切記對對象反序列化是創(chuàng)建對象的另一途徑。
比如說，如果一個(gè) applet 創(chuàng)建了一個(gè) frame ，在該 frame 上創(chuàng)建了警告標(biāo)簽。如果該 frame 被另一應(yīng)用程序序列化并被一個(gè) applet 反序列化，務(wù)必使該 frame 出現(xiàn)時(shí)帶有同一個(gè)警告標(biāo)簽。

原生方法
應(yīng)從以下幾個(gè)方面檢查原生方法：
????????? 它們返回什么
????????? 它們需要什么參數(shù)
????????? 它們是否繞過了安全檢查
????????? 它們是否是公共的，私有的等
????????? 它們是否包含能繞過包邊界的方法調(diào)用，從而繞過包保護(hù)

清除敏感信息
當(dāng)保存敏感信息時(shí)，如機(jī)密，盡量保存在如數(shù)組這樣的可變數(shù)據(jù)類型中，而不是保存在字符串這樣的不可變對象中，這樣使得敏感信息可以盡早顯式地被清除。不要指望 Java 平臺(tái)的自動(dòng)垃圾回收來做這種清除，因?yàn)榛厥掌骺赡懿粫?huì)清除這段內(nèi)存，或者很久后才會(huì)回收。盡早清除信息使得來自虛擬機(jī)外部的堆檢查攻擊變得困難。