পাসওয়ার্ডের জন্য স্ট্রিংয়ের চেয়ে চর [] কেন পছন্দ করা হয়?

সুইং-এ, পাসওয়ার্ড ক্ষেত্রে সাধারণ getPassword()(রিটার্ন char[]) পদ্ধতির পরিবর্তে একটি getText()(রিটার্ন String) পদ্ধতি থাকে। তেমনি, আমি Stringপাসওয়ার্ডগুলি হ্যান্ডেল না করার জন্য একটি পরামর্শ পেয়েছি ।

Stringপাসওয়ার্ড এলে কেন সুরক্ষার জন্য হুমকি তৈরি করে? এটি ব্যবহার করতে অসুবিধা বোধ করে char[]।

স্ট্রিংগুলি অপরিবর্তনীয় । এর অর্থ একবার তৈরি করার পরে String, যদি অন্য কোনও প্রক্রিয়া মেমরি ডাম্প করতে পারে তবে কোনও উপায় নেই ( প্রতিচ্ছবি বাদ দিয়ে ) আবর্জনা সংগ্রহের আগে ডেটা থেকে মুক্তি পেতে পারেন ।

একটি অ্যারে দিয়ে আপনি সম্পূর্ণরূপে ডেটা শেষ করার পরে স্পষ্টভাবে মুছতে পারেন। আপনি নিজের পছন্দ মতো কিছুতে অ্যারে ওভাররাইট করতে পারেন এবং আবর্জনা সংগ্রহের আগেও পাসওয়ার্ড সিস্টেমে কোথাও উপস্থিত হবে না।

সুতরাং হ্যাঁ, এটি একটি সুরক্ষা উদ্বেগ - তবে এমনকি এটি ব্যবহার করা char[]কেবল আক্রমণকারীর জন্য সুযোগের উইন্ডো হ্রাস করে এবং এটি কেবলমাত্র এই নির্দিষ্ট ধরণের আক্রমণের জন্য।

মন্তব্যে উল্লিখিত হিসাবে, এটি আবশ্যক যে আবর্জনা সংগ্রহকারী দ্বারা অ্যারে স্থানান্তরিত করা হবে মেমরিতে ডেটার ভ্রূক প্রতিলিপিগুলি ছেড়ে দেবে। আমি বিশ্বাস করি এই হল বাস্তবায়ন-নির্দিষ্ট - আবর্জনা সংগ্রাহক পারে সব স্মৃতি পরিষ্কার যেমন যায়, আর এই সাজানোর এড়ানো। এমনকি যদি তা হয় তবে এখনও সময় আছে যার মধ্যে char[]আক্রমণটির উইন্ডো হিসাবে প্রকৃত অক্ষর রয়েছে।

যদিও এখানে অন্যান্য পরামর্শগুলি বৈধ বলে মনে হচ্ছে, অন্য একটি ভাল কারণ রয়েছে। সাধারণ কারণে Stringআপনার লগ , মনিটর বা অন্য কোনও সুরক্ষিত জায়গায় দুর্ঘটনাক্রমে পাসওয়ার্ড মুদ্রণের অনেক বেশি সম্ভাবনা রয়েছে । char[]কম ঝুঁকিপূর্ণ।

এই বিবেচনা:

public static void main(String[] args) {
    Object pw = "Password";
    System.out.println("String: " + pw);

    pw = "Password".toCharArray();
    System.out.println("Array: " + pw);
}

ছাপে:

String: Password
Array: [C@5829428e

একটি সরকারী নথিতে উদ্ধৃত করার জন্য, জাভা ক্রিপ্টোগ্রাফি আর্কিটেকচার নির্দেশিকা সম্পর্কে এই বলে char[]বনাম Stringপাসওয়ার্ড (প্রায় পাসওয়ার্ড ভিত্তিক এনক্রিপশন, কিন্তু এই কোর্সের পাসওয়ার্ড সম্পর্কে আরো সাধারণভাবে হয়):

এটি কোনও ধরণের বস্তুতে পাসওয়ার্ড সংগ্রহ এবং সংরক্ষণ করা যৌক্তিক বলে মনে হয় java.lang.String। তবে, সাবধানবাণীটি এখানে রয়েছে: Objectধরণের ধরণের Stringপরিবর্তনযোগ্য, অর্থাত্ এমন কোনও পদ্ধতি নির্ধারিত নেই যা আপনাকে পরিবর্তনের (ওভাররাইট) অনুমতি দেয় বা String ব্যবহারের পরে কোনও বিষয়বস্তু শূন্য করে দেয় । এই বৈশিষ্ট্যটি Stringব্যবহারকারীর পাসওয়ার্ডের মতো সুরক্ষা সংবেদনশীল তথ্য সংরক্ষণের জন্য অবজেক্টগুলিকে অনুপযুক্ত করে তোলে । charপরিবর্তে আপনার পরিবর্তে একটি অ্যারেতে সুরক্ষা সংবেদনশীল তথ্য সবসময় সংগ্রহ এবং সঞ্চয় করা উচিত ।

জাভা প্রোগ্রামিং ল্যাঙ্গুয়েজ, সিকিউর কোডিং গাইডলাইনসের ২-২ নির্দেশিকা, সংস্করণ ৪.০ এও একই রকম কিছু বলেছেন (যদিও এটি মূলত লগিংয়ের প্রসঙ্গে):

গাইডলাইন 2-2: অত্যন্ত সংবেদনশীল তথ্য লগ করবেন না

সামাজিক সুরক্ষা নম্বর (এসএসএন) এবং পাসওয়ার্ডগুলির মতো কিছু তথ্য অত্যন্ত সংবেদনশীল। এই তথ্যটি প্রয়োজনের চেয়ে বেশি সময়ের জন্য রাখা উচিত নয় বা এটি কোথায় দেখা যায়, এমনকি প্রশাসকরাও এটি দেখতে পারেন না। উদাহরণস্বরূপ, এটি লগ ফাইলগুলিতে প্রেরণ করা উচিত নয় এবং অনুসন্ধানের মাধ্যমে এর উপস্থিতি সনাক্তকরণযোগ্য হওয়া উচিত নয়। কিছু ক্ষণস্থায়ী ডেটা পরিবর্তনীয় ডেটা স্ট্রাকচারে রাখা যেতে পারে যেমন চর অ্যারে, এবং ব্যবহারের সাথে সাথে ক্লিয়ার করা হয়। ক্লিয়ারিং ডেটা স্ট্রাকচারগুলি কার্যকর জাভা রানটাইম সিস্টেমে কার্যকারিতা হ্রাস পেয়েছে কারণ বস্তুগুলি মেমরিতে স্বচ্ছভাবে প্রোগ্রামারটিতে স্থানান্তরিত হয়।

এই নির্দেশিকাতে নিম্ন-স্তরের গ্রন্থাগারগুলির প্রয়োগ ও ব্যবহারের ক্ষেত্রেও অন্তর্ভুক্ত রয়েছে যার সাথে তারা যে ডেটা নিয়ে কাজ করছে তার ডেপটিক জ্ঞান নেই। উদাহরণ হিসাবে, একটি নিম্ন-স্তরের স্ট্রিং পার্সিং লাইব্রেরি এতে লেখা পাঠ্য লগইন করতে পারে। কোনও অ্যাপ্লিকেশন কোনও এসএসএন গ্রন্থাগারের সাথে পার্স করতে পারে। এটি এমন পরিস্থিতি তৈরি করে যেখানে লগ ফাইলগুলিতে অ্যাক্সেস সহ প্রশাসকদের কাছে এসএসএনগুলি উপলব্ধ।

char[]প্রতিটি অক্ষরকে শূন্য এবং স্ট্রিংস নয় এ সেট করে অক্ষর অ্যারে ( ) ব্যবহারের পরে সাফ করা যায়। যদি কেউ কোনওভাবে মেমোরি চিত্রটি দেখতে পারে তবে স্ট্রিংস ব্যবহার করা হলে তারা সরল পাঠ্যে একটি পাসওয়ার্ড দেখতে পারে, তবে যদি char[]0 ব্যবহার করে ডেটা শুদ্ধ করার পরে ব্যবহার করা হয় তবে পাসওয়ার্ডটি সুরক্ষিত থাকে।

কিছু লোক বিশ্বাস করে যে আপনার আর পাসওয়ার্ডের প্রয়োজন নেই, আপনাকে পাসওয়ার্ড সংরক্ষণ করতে ব্যবহৃত মেমরিটি ওভাররাইট করতে হবে। এটি কোনও আক্রমণকারীকে আপনার সিস্টেম থেকে পাসওয়ার্ড পড়ার সময় উইন্ডো হ্রাস করে এবং পুরোপুরি এড়িয়ে যায় যে আক্রমণকারীকে এটি করতে জেভিএম মেমরি হাইজ্যাক করার জন্য ইতিমধ্যে পর্যাপ্ত অ্যাক্সেসের প্রয়োজন রয়েছে needs এত অ্যাক্সেস সহ একজন আক্রমণকারী আপনার মূল ইভেন্টগুলি এটি সম্পূর্ণরূপে অকেজো করে তুলতে পারে (এএফআইএকে, সুতরাং আমি যদি ভুল হয়ে থাকি তবে আমাকে সংশোধন করুন)।

হালনাগাদ

আমি আমার উত্তর আপডেট করতে হয়েছে মন্তব্য ধন্যবাদ। স্পষ্টতই দুটি ক্ষেত্রে রয়েছে যেখানে এটি একটি (খুব) গৌণ সুরক্ষা উন্নতি যুক্ত করতে পারে কারণ এটি হার্ড ড্রাইভে পাসওয়ার্ড নেওয়ার সময় হ্রাস করে। তবুও আমি মনে করি এটি বেশিরভাগ ব্যবহারের ক্ষেত্রে ওভারকিল।

• আপনার টার্গেট সিস্টেমটি খারাপভাবে কনফিগার করা হয়েছে বা আপনার এটি ধরে নিতে হবে এবং কোর ডাম্প সম্পর্কে আপনাকে ভৌতিক হতে হবে (সিস্টেমগুলি যদি কোনও প্রশাসকের দ্বারা পরিচালিত না হয় তবে বৈধ হতে পারে)।
• ভালো জিনিস ব্যবহার - আপনার সফ্টওয়্যার মাত্রাতিরিক্ত আক্রমণকারী হার্ডওয়্যার অ্যাক্সেস হত্তন সাথে ডেটা তথ্য ফাঁসের প্রতিরোধ ভীতু হতে হয়েছে TrueCrypt (বর্তমানে অপ্রচলিত), VeraCrypt , অথবা CipherShed ।

যদি সম্ভব হয় তবে কোর ডাম্প অক্ষম করা এবং স্ব্যাপ ফাইল উভয় সমস্যার যত্ন নেবে। যাইহোক, তাদের প্রশাসকের অধিকারের প্রয়োজন হবে এবং কার্যকারিতা হ্রাস করতে পারে (ব্যবহার করার জন্য কম স্মৃতি) এবং একটি চলমান সিস্টেম থেকে র‌্যাম টানা এখনও বৈধ উদ্বেগ হতে পারে।

আমি মনে করি না এটি একটি বৈধ পরামর্শ, তবে, আমি কমপক্ষে কারণটিতে অনুমান করতে পারি।

আমি মনে করি যে অনুপ্রেরণাটি তা নিশ্চিত করার ইচ্ছে করছে যে আপনি পাসওয়ার্ডের সমস্ত চিহ্ন মেমোরিতে তাত্ক্ষণিকভাবে এবং ব্যবহারের পরে নিশ্চিতভাবে মুছে ফেলতে পারবেন। একটি দিয়ে char[]আপনি অ্যারের প্রতিটি উপাদান একটি ফাঁকা বা নিশ্চিতভাবে কিছু দিয়ে ওভাররাইট করতে পারেন। আপনি Stringসেভাবে অভ্যন্তরীণ মানটি সম্পাদনা করতে পারবেন না ।

তবে এটি একা ভাল উত্তর নয়; কেন কেবল নিশ্চিত হন না যে একটি রেফারেন্স char[]বা Stringপালাতে পারে না? তারপরে কোনও সুরক্ষা সমস্যা নেই। তবে বিষয়টি হ'ল Stringবস্তুগুলিকে intern()তত্ত্ব অনুসারে এডিট করা যায় এবং ধ্রুবক পুলের অভ্যন্তরে জীবিত রাখা যায়। আমি মনে করি ব্যবহার করা char[]এই সম্ভাবনাটিকে নিষিদ্ধ করে ।

উত্তরটি ইতিমধ্যে দেওয়া হয়ে গেছে, তবে আমি জাভা স্ট্যান্ডার্ড লাইব্রেরিগুলির সাথে ইদানীং আবিষ্কার করা একটি সমস্যা ভাগ করতে চাই। যদিও তারা এখন char[]সর্বত্র পাসওয়ার্ডের স্ট্রিংগুলি প্রতিস্থাপনের ক্ষেত্রে খুব যত্ন নিচ্ছে (যা অবশ্যই ভাল জিনিস), অন্য সুরক্ষা-সমালোচনামূলক ডেটা স্মৃতি থেকে সাফ করার সময় এটি উপেক্ষা করা হবে বলে মনে হয়।

আমি যেমন প্রাইভেটকে ক্লাসের কথা ভাবছি । এমন একটি দৃশ্যের কথা বিবেচনা করুন যেখানে আপনি কোনও অপারেশন সম্পাদন করতে কোনও পি কেসিএস # 12 ফাইল থেকে একটি প্রাইভেট আরএসএ কী লোড করবেন। এখন এক্ষেত্রে, পাসওয়ার্ডকে একা স্নিগ্ধ করা ততক্ষণ আপনাকে সাহায্য করবে না যতক্ষণ না মূল ফাইলটিতে শারীরিক অ্যাক্সেস সঠিকভাবে সীমাবদ্ধ থাকবে। আক্রমণকারী হিসাবে আপনি যদি পাসওয়ার্ডের পরিবর্তে সরাসরি কীটি পেয়ে থাকেন তবে আপনি আরও ভাল। কাঙ্ক্ষিত তথ্যগুলি ফাঁস হতে পারে বহুগুণ, কোর ডাম্পস, একটি ডিবাগার সেশন বা অদলবদলের ফাইলগুলির কয়েকটি উদাহরণ।

এবং যেমন দেখা যাচ্ছে, এমন কোনও কিছুই নেই যা আপনাকে PrivateKeyমেমোরি থেকে ব্যক্তিগত তথ্য সাফ করতে দেয় , কারণ এমন কোনও API নেই যা আপনাকে সেই সম্পর্কিত বর্মগুলি মুছতে দেয়।

এটি একটি খারাপ পরিস্থিতি, কারণ এই পত্রিকা বর্ণনা করে যে কীভাবে এই পরিস্থিতিটি সম্ভাব্যভাবে ব্যবহার করা যেতে পারে।

উদাহরণস্বরূপ ওপেনএসএসএল লাইব্রেরি ব্যক্তিগত কীগুলি মুক্ত হওয়ার আগে সমালোচনামূলক মেমরি বিভাগগুলিকে ওভাররাইট করে। জাভা যেহেতু আবর্জনা-সংগৃহীত, তাই জাভা কীগুলির জন্য ব্যক্তিগত তথ্য মুছতে এবং অকার্যকর করার জন্য আমাদের স্পষ্ট পদ্ধতি প্রয়োজন হবে, যা কী ব্যবহারের সাথে সাথেই প্রয়োগ করা উচিত।

জন স্কিটি যেমন বলেছে, প্রতিবিম্ব ব্যবহার করা ছাড়া উপায় নেই।

যাইহোক, যদি প্রতিচ্ছবি আপনার জন্য বিকল্প হয় তবে আপনি এটি করতে পারেন।

public static void main(String[] args) {
    System.out.println("please enter a password");
    // don't actually do this, this is an example only.
    Scanner in = new Scanner(System.in);
    String password = in.nextLine();
    usePassword(password);

    clearString(password);

    System.out.println("password: '" + password + "'");
}

private static void usePassword(String password) {

}

private static void clearString(String password) {
    try {
        Field value = String.class.getDeclaredField("value");
        value.setAccessible(true);
        char[] chars = (char[]) value.get(password);
        Arrays.fill(chars, '*');
    } catch (Exception e) {
        throw new AssertionError(e);
    }
}

যখন রান

please enter a password
hello world
password: '***********'

দ্রষ্টব্য: স্ট্রিংয়ের চরটি যদি কোনও জিসি চক্রের অংশ হিসাবে অনুলিপি করা হয়, তবে পূর্ববর্তী অনুলিপিটি মেমরির কোথাও থাকার সম্ভাবনা রয়েছে।

এই পুরানো অনুলিপি হিপ ডাম্পে উপস্থিত হবে না, তবে প্রক্রিয়াটির কাঁচা স্মৃতিতে যদি আপনার সরাসরি অ্যাক্সেস থাকে তবে আপনি এটি দেখতে পেতেন। সাধারণভাবে আপনার কারও এ জাতীয় অ্যাক্সেস এড়ানো উচিত।

এই সব কারণে এক একটি নির্বাচন করা উচিত হয় গৃহস্থালির কাজ [] অ্যারের পরিবর্তে স্ট্রিং পাসওয়ার্ড।

১. যেহেতু স্ট্রিংস জাভাতে অপরিবর্তনীয়, সুতরাং আপনি যদি পাসওয়ার্ডটিকে সরল পাঠ্য হিসাবে সংরক্ষণ করেন তবে আবর্জনা সংগ্রহকারী এটি সাফ না হওয়া পর্যন্ত এটি মেমরিতে উপলব্ধ থাকবে এবং স্ট্রিংটি পুনরায় ব্যবহারযোগ্যতার জন্য স্ট্রিং পুলে ব্যবহার করা হয়েছে বলে এটি বেশ উচ্চ সম্ভাবনা রয়েছে দীর্ঘ সময় ধরে স্মৃতিতে থেকে যান, যা সুরক্ষার জন্য হুমকি হয়ে দাঁড়িয়েছে।

যেহেতু মেমোরি ডাম্পের অ্যাক্সেস রয়েছে এমন যেহেতু পরিষ্কার পাঠ্যে পাসওয়ার্ডটি খুঁজে পেতে পারে, এর অন্য কারণ আপনার সর্বদা সরল পাঠ্যের পরিবর্তে একটি এনক্রিপ্ট করা পাসওয়ার্ড ব্যবহার করা উচিত। যেহেতু স্ট্রিংস অপরিবর্তনীয় তাই স্ট্রিংসের বিষয়বস্তু পরিবর্তন করার কোনও উপায় নেই কারণ যে কোনও পরিবর্তনই নতুন স্ট্রিং তৈরি করবে, আপনি যদি চর ব্যবহার করেন তবে [] আপনি এখনও সমস্ত উপাদানকে ফাঁকা বা শূন্য হিসাবে সেট করতে পারেন। সুতরাং একটি অক্ষরের অ্যারেতে একটি পাসওয়ার্ড সংরক্ষণ করা একটি পাসওয়ার্ড চুরির সুরক্ষা ঝুঁকিকে স্পষ্টভাবে হ্রাস করে।

২. জাভা নিজেই জেপ্যাসওয়ার্ডফিল্ডের গেটপ্যাসওয়ার্ড () পদ্ধতিটি ব্যবহার করার প্রস্তাব দেয় যা অবহিত গেট টেক্সট () পদ্ধতির পরিবর্তে একটি চর [[] ফেরত দেয় যা সুরক্ষার কারণ উল্লেখ করে স্পষ্ট পাঠ্যে পাসওয়ার্ড দেয়। জাভা টিমের পরামর্শ অনুসরণ করা এবং তাদের বিরুদ্ধে যাওয়ার চেয়ে মানদণ্ডগুলি মেনে চলা ভাল।

৩. স্ট্রিং সহ সর্বদা লগ ফাইল বা কনসোলে প্লেইন পাঠ্য মুদ্রণের ঝুঁকি থাকে তবে আপনি যদি একটি অ্যারে ব্যবহার করেন তবে আপনি কোনও অ্যারের সামগ্রীগুলি মুদ্রণ করতে পারবেন না, পরিবর্তে এর মেমরির অবস্থান মুদ্রিত হয়। যদিও আসল কারণ না, তবু এটি বোধগম্য।

String strPassword="Unknown";
char[] charPassword= new char[]{'U','n','k','w','o','n'};
System.out.println("String password: " + strPassword);
System.out.println("Character password: " + charPassword);

String password: Unknown
Character password: [C@110b053

এই ব্লগ থেকে রেফারেন্স । আশা করি এটা কাজে লাগবে.

সম্পাদনা: এক বছরের সুরক্ষা গবেষণার পরে এই উত্তরে ফিরে আসার পরে, আমি বুঝতে পেরেছি এটি দুর্ভাগ্যজনকভাবে বোঝায় যে আপনি কখনও প্লেইনেক্সট পাসওয়ার্ডের তুলনা করতে পারবেন। দয়া করে না। লবণ এবং যুক্তিসঙ্গত সংখ্যক পুনরাবৃত্তি সহ একটি নিরাপদ একমুখী হ্যাশ ব্যবহার করুন । একটি লাইব্রেরি ব্যবহার বিবেচনা করুন: এই জিনিস সঠিকভাবে পাওয়া শক্ত!

আসল উত্তর: স্ট্রিং.ইকুয়ালস () সংক্ষিপ্ত-সার্কিট মূল্যায়ন ব্যবহার করে এবং তাই সময়সীমার আক্রমণে ঝুঁকির মধ্যে রয়েছে সে সম্পর্কে কী বলা যায় ? এটি অসম্ভব হতে পারে তবে আপনি অক্ষরগুলির সঠিক ক্রম নির্ধারণ করার জন্য তাত্ত্বিকভাবে পাসওয়ার্ডের তুলনায় সময় দিতে পারেন।

public boolean equals(Object anObject) {
    if (this == anObject) {
        return true;
    }
    if (anObject instanceof String) {
        String anotherString = (String)anObject;
        int n = value.length;
        // Quits here if Strings are different lengths.
        if (n == anotherString.value.length) {
            char v1[] = value;
            char v2[] = anotherString.value;
            int i = 0;
            // Quits here at first different character.
            while (n-- != 0) {
                if (v1[i] != v2[i])
                    return false;
                i++;
            }
            return true;
        }
    }
    return false;
}

সময় আক্রমণের উপর আরও কিছু সংস্থান:

• টাইমিং অ্যাটাকের একটি পাঠ
• তথ্য সুরক্ষা স্ট্যাক এক্সচেঞ্জের উপর হামলার সময় নির্ধারণ সম্পর্কে আলোচনা
• এবং অবশ্যই, টাইমিং অ্যাটাক উইকিপিডিয়া পৃষ্ঠা

ব্যবহারের পরে আপনি ম্যানুয়ালি পরিষ্কার না করে চরের অ্যারে আপনাকে বনাম স্ট্রিং দেয় এমন কিছুই নেই এবং আমি আসলে কাউকে এটি করতে দেখিনি। সুতরাং আমার কাছে চর [] বনাম স্ট্রিংয়ের পছন্দটি কিছুটা অতিরঞ্জিত।

কটাক্ষপাত _{ব্যাপকভাবে ব্যবহৃত} স্প্রিং সিকিউরিটি গ্রন্থাগার এখানে এবং নিজেকে জিজ্ঞাসা - স্প্রিং সিকিউরিটি বলছি অযোগ্য বা গৃহস্থালির কাজ হয় [] পাসওয়ার্ড শুধু অনেক মানে হয় না। যখন কোনও বাজে হ্যাকার আপনার র‌্যামের মেমরি ডাম্পগুলিকে ধরবে তখন নিশ্চিত হয়ে নিন যে সেগুলি গোপন করার জন্য অত্যাধুনিক উপায়গুলি ব্যবহার করলেও তিনি সমস্ত পাসওয়ার্ড পেয়ে যাবেন।

তবে জাভা সর্বদা পরিবর্তিত হয় এবং জাভা 8 এর স্ট্রিং ডুপ্লোকেশন ফিচারের মতো কিছু ভীতিজনক বৈশিষ্ট্য আপনার অজান্তেই স্ট্রিং অবজেক্টগুলিকে ইন্টার্ন করতে পারে। তবে এটি একটি আলাদা কথোপকথন।

স্ট্রিংগুলি পরিবর্তনযোগ্য এবং একবার তৈরি হয়ে গেলে সেগুলি পরিবর্তন করা যায় না। স্ট্রিং হিসাবে একটি পাসওয়ার্ড তৈরি করা হিপ বা স্ট্রিং পুলের পাসওয়ার্ডের দিকে বিপথগামী রেফারেন্স ছেড়ে যাবে। এখন যদি কেউ জাভা প্রক্রিয়াটির হিপ ডাম্প নেয় এবং সাবধানতার সাথে স্ক্যান করে সে পাসওয়ার্ডগুলি অনুমান করতে সক্ষম হতে পারে। অবশ্যই এই অ-ব্যবহৃত স্ট্রিংগুলি আবর্জনা সংগ্রহ করা হবে তবে এটি কখন নির্ভর করে জিসি লাথি দেয় on

অন্যদিকে চর [] প্রবর্তনযোগ্য প্রমাণীকরণের সাথে সাথেই আপনি এগুলি সমস্ত এম এর বা ব্যাকস্ল্যাশগুলির মতো কোনও অক্ষর দিয়ে ওভাররাইট করতে পারেন। এখন এমনকি কেউ যদি হ্যাপ ডাম্প নেয় তবে তিনি বর্তমানে ব্যবহার করা হয়নি এমন পাসওয়ার্ডগুলি পেতে সক্ষম হতে পারবেন না। এটি আপনাকে জিসির অপেক্ষায় বনাম অবজেক্ট সামগ্রীটি সাফ করার মতো অর্থে আরও নিয়ন্ত্রণ দেয়।

স্ট্রিং পরিবর্তনযোগ্য এবং এটি স্ট্রিং পুলে যায় to একবার লেখা হয়ে গেলে এটি ওভাররাইট করা যায় না।

char[] একবারে পাসওয়ার্ড ব্যবহার করার পরে আপনার ওভাররাইট করা উচিত এমন একটি অ্যারে এবং এটি এটি করা উচিত:

char[] passw = request.getPassword().toCharArray()
if (comparePasswords(dbPassword, passw) {
 allowUser = true;
 cleanPassword(passw);
 cleanPassword(dbPassword);
 passw=null;
}

private static void cleanPassword (char[] pass) {

Arrays.fill(pass, '0');
}

আক্রমণকারী এটির ব্যবহার করতে পারে এমন একটি দৃশ্য ক্র্যাশডাম্প - যখন জেভিএম ক্র্যাশ হয়ে মেমরির ডাম্প তৈরি করে - আপনি পাসওয়ার্ডটি দেখতে সক্ষম হবেন।

এটি অগত্যা কোনও দূষিত বাহ্যিক আক্রমণকারী নয়। এটি এমন কোনও সমর্থনকারী ব্যবহারকারী হতে পারে যা পর্যবেক্ষণের উদ্দেশ্যে সার্ভারে অ্যাক্সেস পায়। তিনি ক্রাশডাম্পে উঁকি মারতে এবং পাসওয়ার্ডগুলি খুঁজে পেতে পারতেন।

সংক্ষিপ্ত এবং সরল উত্তর char[]হ'ল কারণ Stringবস্তুগুলি না থাকায় পরিবর্তনযোগ্য ।

Stringsজাভাতে অপরিবর্তনীয় বস্তু। এ কারণেই একবার এগুলি তৈরি করার পরে তাদের সংশোধন করা যাবে না এবং তাই তাদের সামগ্রীগুলি মেমরি থেকে সরিয়ে ফেলার একমাত্র উপায় হ'ল তাদের আবর্জনা সংগ্রহ করা। এটি তখনই যখন অবজেক্টের দ্বারা মুক্ত মেমরির ওভাররাইট করা যাবে এবং ডেটা চলে যাবে।

এখন জাভাতে আবর্জনা সংগ্রহ কোনও গ্যারান্টিযুক্ত বিরতিতে ঘটে না। Stringএইভাবে একটি দীর্ঘ সময়ের জন্য মেমরির মধ্যে জিদ করতে পারেন, এবং যদি একটি প্রক্রিয়া এই সময় ক্র্যাশ, স্ট্রিং এর বিষয়বস্তু একটি মেমরি ডাম্প অথবা কিছু লগ আপ শেষ হতে পারে।

একটি অক্ষরের অ্যারে দিয়ে , আপনি পাসওয়ার্ডটি পড়তে পারেন, যত তাড়াতাড়ি সম্ভব এটির সাথে কাজ শেষ করতে পারেন এবং তারপরে অবিলম্বে সামগ্রীগুলি পরিবর্তন করতে পারেন change

জাভা স্ট্রিং অপরিবর্তনীয়। সুতরাং যখনই কোনও স্ট্রিং তৈরি হবে, এটি আবর্জনা সংগ্রহ না করা অবধি স্মৃতিতে থাকবে। সুতরাং যে যার কাছে মেমোরিতে অ্যাক্সেস রয়েছে তারা স্ট্রিংয়ের মানটি পড়তে পারেন।
যদি স্ট্রিংয়ের মান সংশোধন করা হয় তবে এটি একটি নতুন স্ট্রিং তৈরি করে শেষ করবে। সুতরাং মূল মান এবং পরিবর্তিত মান উভয়ই ময়লা আবর্জনা সংগ্রহ না করা অবধি মেমরিতে থাকে।

অক্ষর অ্যারের সাথে, পাসওয়ার্ডের উদ্দেশ্যটি পরিবেশন করা হলে অ্যারের সামগ্রীগুলি পরিবর্তন বা মোছা যায়। অ্যারের মূল বিষয়বস্তু মেমরি পাওয়া যাবে না পরে এটি রুপান্তরিত করা হয়েছে এবং এমনকি সামনে আবর্জনা সংগ্রহ কিক।

নিরাপত্তা উদ্বেগ এটি একটি অক্ষর অ্যারে হিসাবে দোকান পাসওয়ার্ড করাই ভালো কারণ।

এই উদ্দেশ্যে আপনার স্ট্রিং ব্যবহার করা উচিত বা চর [] ব্যবহার করা উচিত কিনা তা নিয়ে বিতর্কযোগ্য কারণ উভয়েরই সুবিধা এবং অসুবিধা রয়েছে। এটি নির্ভর করে ব্যবহারকারী কী প্রয়োজন।

যেহেতু জাভাতে স্ট্রিংগুলি পরিবর্তনযোগ্য নয়, যখনই কেউ আপনার স্ট্রিংয়ে হেরফের করার চেষ্টা করে এটি একটি নতুন অবজেক্ট তৈরি করে এবং বিদ্যমান স্ট্রিংগুলি ক্ষতিগ্রস্থ থেকে যায়। স্ট্রিং হিসাবে একটি পাসওয়ার্ড সংরক্ষণ করার জন্য এটি একটি সুবিধা হিসাবে দেখা যেতে পারে, তবে অবজেক্টটি ব্যবহারের পরেও স্মৃতিতে থেকে যায়। সুতরাং কেউ যদি কোনওভাবে অবজেক্টটির মেমরি অবস্থান পেয়ে থাকে তবে that ব্যক্তি সেই জায়গায় আপনার পাসওয়ার্ডটি সহজেই সন্ধান করতে পারে।

চর [] পরিবর্তনীয়, তবে এর সুবিধা রয়েছে যে এর ব্যবহারের পরে প্রোগ্রামার স্পষ্ট করে অ্যারে বা ওভাররাইড মানগুলি পরিষ্কার করতে পারে। সুতরাং এটি ব্যবহার করা হয়ে গেলে এটি পরিষ্কার হয়ে যায় এবং আপনার সঞ্চিত তথ্য সম্পর্কে কেউ জানতে পারেনি ever

উপরের অবস্থার উপর ভিত্তি করে, কেউ স্ট্রিংয়ের সাথে যেতে হবে বা তাদের প্রয়োজনীয়তার জন্য চরের সাথে যেতে হবে কিনা সে সম্পর্কে ধারণা পেতে পারে।

কেস স্ট্রিং:

    String password = "ill stay in StringPool after Death !!!";
    // some long code goes
    // ...Now I want to remove traces of password
    password = null;
    password = "";
    // above attempts wil change value of password
    // but the actual password can be traced from String pool through memory dump, if not garbage collected

কেস চার এয়ার:

    char[] passArray = {'p','a','s','s','w','o','r','d'};
    // some long code goes
    // ...Now I want to remove traces of password
    for (int i=0; i<passArray.length;i++){
        passArray[i] = 'x';
    }
    // Now you ACTUALLY DESTROYED traces of password form memory