A
Массив чар - это полумера всё-таки
Рассматривался кейс где хип дамп снимает злоумышленник.
Size: a a a
2020 February 12
AG
еще где-то читал что final поля сокрашает создания лишних объектов (хотя могу ошибаться)
T
То есть у него есть доступ к серверу с привилегиями серверного процесса? Тогда расслабься и получай удовольствие
A
То есть у него есть доступ к серверу с привилегиями серверного процесса? Тогда расслабься и получай удовольствие
Понял
A
То есть у него есть доступ к серверу с привилегиями серверного процесса? Тогда расслабься и получай удовольствие
Спасибо)
T
Можно выгрузить секретные части в нейтив, но злоумышленник может и полный кор дамп снять с тем же успехом
T
Более того он может на лету пропатчить процесс, впихнув в него любой сниффер. Непросто, но возможно
СЦ
еще где-то читал что final поля сокрашает создания лишних объектов (хотя могу ошибаться)
Сокращает время создания или сокращает количество объектов?
AG
Сокращает время создания или сокращает количество объектов?
количество
AG
вот только не могу найти источник
СЦ
Как-то не очень правдоподобно звучит ) Какая-то чёрная магия?
A
Более того он может на лету пропатчить процесс, впихнув в него любой сниффер. Непросто, но возможно
Правильно я понял, что нет от этого защиты?
T
Кстати, кордамп может теоретически выловить перезаписанные пароли из чар-массивов. Если Гц компактизировал кучу и двигал массив, когда там был пароль, он, естественно, не позаботился затереть старую копию.
AG
Как-то не очень правдоподобно звучит ) Какая-то чёрная магия?
или я неправильно понял, просто это имеет смысл если аргументы конструктора одинаковые и объект не меняется, то вполне логично будет. То есть вместо создания нового объекта jvm просто даст старую ссылку.
T
AlexJok
Правильно я понял, что нет от этого защиты?
Я не специалист в вопросах безопасности. Может придумали какие-нибудь хитрые песочницы, докеры-шмокеры или ещё чего. Но я бы не стал надеяться. Просто не пускайте хакеров к своим процессам. На этом надо концентрировать усилия
A
Я не специалист в вопросах безопасности. Может придумали какие-нибудь хитрые песочницы, докеры-шмокеры или ещё чего. Но я бы не стал надеяться. Просто не пускайте хакеров к своим процессам. На этом надо концентрировать усилия
Спасибо)
СЦ
или я неправильно понял, просто это имеет смысл если аргументы конструктора одинаковые и объект не меняется, то вполне логично будет. То есть вместо создания нового объекта jvm просто даст старую ссылку.
Похоже на интернирование строк
AG
Похоже на интернирование строк
Да. Надо будет проверить эту гипотезу с другими объектами
СЦ
Да. Надо будет проверить эту гипотезу с другими объектами
На других не сработает, если явного кэширования не будет. Интернирование не за счёт файнала работает ;)
2020 February 15
B
Hi! Are you having fun?