• 爪哇夜未眠
    2018-07-17
    期待杨晓峰老师直播!
    
     8
  • 王建
    2018-07-18
    中间人攻击最容易理解的可能就是fiddler吧,他可以截获request重新组织request的数据,有个专业的攻击工具叫burp。
    
     5
  • 苦行僧
    2019-02-08
    每次使用开源组件,经常关注使用版本修复的问题列表,其中的安全修复值得重点关注

    作者回复: 安全是永远不能忽视的主题

    
     4
  • 羊羊羊
    2018-07-17
    也不是很懂,根据自己的理解讲一下,部分可能是错误的。中间人攻击原理大概是用户在正常上网的时候,同网段的恶意用户对其进行欺骗。恶意用户向局域网广播:我是路由器,然后正常用户(电脑无防御)收到以后认为恶意用户就是路由器,然后向恶意用户发送数据包,恶意用户可以截获数据包,再向路由器发送正常用户的数据包,路由器将返回的数据包在给恶意用户,恶意用户在给正常用户,恶意用户就形成了中间人的效果,可以向返回的数据包注入html代码,达到劫持用户网站的效果,不过现在大部分的网站都是https且双向认证,比较难获取到用户发送数据包中的账号密码。

    作者回复: 不错,如果从Java API的角度看,也存在很多可能,即使是https,在连接没完整建立前,最初的通信并不是安全的,例如,过程中发生proxy authentication之类,其实还是http

    
     4
  • 鸡肉饭饭
    2018-07-17
    杨老师,您好,被一个安全问题困扰许久。就是开发者是否能够通过一定的手段修改jdk中的String类,并将修改后的String类进行替换,对于这个问题,应当从哪里开始寻找答案?谢谢

    作者回复: 你是说,类似自己build一个jdk吗?但即使改写里面的方法也未必生效,因为有的方法是用的intrinsic的内部实现

     1
     3
  • 咖啡猫口里的咖啡猫�...
    2018-07-17
    我来回答,,鸡肉饭饭的,,,数据存在immutable,mutable,两种,java没有原生immutable支持,string如果是new就是相对意义的immutable,java基本类型和string是有高效缓存池范围,OK?
    
     2
  • wei
    2019-05-08
    String你懂双亲委派就知道,自己定义String是用不了的。
    
     1
  • 会网络的老鼠
    2018-11-06
    或者通过明文传输、存储,这些都存在暴露安全隐患的可能。
    朗读者将 明文 读成 文明
    难道只有我注意到么?
    
     1
  • William
    2019-12-02
    类加载器本身也可以对代码之间进行隔离,例如,应用无法获取启动类加载器(Bootstrap Class-Loader)对象实例,不同的类加载器也可以起到容器的作用,隔离模块之间不必要的可见性等。

    所以上面这段话没理解, 启动器加载器不是顶级父类加载器么? 按照“双亲委派机制”不是从父加载器看是否能够加载对象么? 怎么还无法回去对象实例了呢?
    
    
  • Victory
    2019-08-24
    这一讲看的完了,昨天面试的时候有问道注入攻击
    
    
  • 我奋斗去了
    2018-07-18
    终于可以见到杨老师真人了 😄
    
    
  • 王宁
    2018-07-17
    纠结String的同学可以试一下,String应该是加载不了的。
    
    
我们在线,来聊聊吧