最近写几篇基础的blog,混点人气.
使用swing的人都知道 password field 的getPassword()方法,返回的是char[],而不是String.
如果使用PKI的话
FileInputStream in=new FileInputStream(name);
KeyStore ks=KeyStore.getInstance("JKS");
ks.load(in,pass.toCharArray());
也不用String.
String 是不可变的,这点毋庸置疑,但是String会在jvm上存储,如果在GC之前,读取jvm的内存可能读到这个数据。
如果使用 Char array,可以马上重写这块内存,即使没有发生GC,攻击者也无法获取数据。
阅读(3932) | 评论(0) | 转发(1) |