• Len
    2018-07-20
    在密码使用的场景中,比如用户注册/登录。
    我使用 char[] 数组存储和验证密码,并在使用结束后,通过随机的字符覆盖掉 char[]。
    如果使用 string 存储密码,由于它的不可变性,它的缺陷是会一直驻留在堆中,直到未来被垃圾回收。

    作者回复: 不错

     1
     51
  • 三木子
    2018-07-19

     最近项目在改安全问题,主要遇到的有:SQL注入,IO流没有关闭,使用不安全Random,重定向Url合法性没做检验,上传文件前后端没做文件大小类型校验。通过反射方式访问私有方法。日志包含敏感信息,没有禁止除GET,POST以外的HTTP请求等等

    作者回复: jdk新版中 random升级很多,例如基于DRBG的实现,值得尝试

    
     7
  • 我滴头好大呀
    2018-07-19
    期待
    
     4
  • Leiy
    2018-07-20
    老师,你好,那个c是负数,b是正数,c-b也可能溢出吧?

    作者回复: 对,所以我强调判断数值范围,具体看情况选择

    
     2
  • Dimple
    2019-04-08
    这节课让我想去以前在菊厂做的各种红线检查,就是针对各种安全来应对的。通过findbugs,pclint,fortify等静待代码检查;安全扫描;Sql注入;Android还有Monkey测试等手段进行安全攻防
    
     1
  • birdzxc
    2018-07-19
    老师,能否就spring 源码 解读一下呢?非常期待
    
     1
  • 郭俊杰
    2018-08-18
    老师,你好,多线程访问共享数据会有线程安全问题,是不是在方法内部new的对象也一样存在线程安全问题呢?

    作者回复: 需要理解为什么有线程安全问题,看是否线程间共享,不可变还是可修改

    
    
  • 羊羊羊
    2018-07-21
    安全倾向于 “明显没有漏洞”,而不是“没有明显漏洞”。这段话很喜欢,老师能不能在详细的剖析下这句话。
    
    
  • Santo
    2018-07-21
    错过了老师的live课,好可惜,不知道后面还有没有?
    
    
  • 小粉蒸
    2018-07-20
    请问没赶上直播的怎么办,有录音之类的吗?
    
    
  • 王大为
    2018-07-20
    谢谢老师的回复,我编译的openjdk8,netbeans7.4,按照周志明老师的jvm书籍上说的编译的。请问oracle jdk也可以编译下来断点调试吗,您那边用的什么IDE调试的愣?
    
    
  • 王大为
    2018-07-19
    老师,您好,我编译了openjdk,导入到netbeans中,怎么打不了断点调试jdk模块,请您指导下

    作者回复: netbeans…基本没怎么用过,openjdk什么版本?netbeans呢?oracle官方的jdk有这个问题吗?
    另外build的时候有没有加上—enable-debug之类参数?

    
    
  • 老韩
    2018-07-19
    hook有直接可用的或者简单修改就能用的推荐吗

    作者回复: openjdk用的是自身定制的...但我理解主流代码检查工具,都可以试试定制个适合做check-in守门的版本,想清楚限定什么,一般是个子集

    
    
我们在线,来聊聊吧