Domande con tag 'java'

domande con tag
2
risposte

Esistono casi di vita reale, in cui l'utilizzo della parola chiave final in Java aumenta la sicurezza del sistema?

Mi sono imbattuto in questa domanda su StackOverflow: link L'affermazione è fatta, che secondo Wikipedia: A final class cannot be subclassed. This is done for reasons of security and efficiency. e l'OP ha chiesto come si ottiene l...
posta 12.09.2013 - 17:31
1
risposta

Oracle's GuardedString protegge i dati sensibili da heap o dump di memoria?

Il org.identityconnectors.common.security.GuardedString di Oracle lo afferma nella sua documentazione: The GuardedString class alleviates [the problem that string data is kept in memory as clear text] by storing the characters in memor...
posta 27.06.2016 - 22:17
1
risposta

Inserisco il mio certificato CA subordinato (intermedio) o radice nel mio truststore?

Ho un server che utilizza un certificato firmato dalla mia CA subordinata (intermedia). Il mio client basato su java deve inserire il certificato CA intermedio o root nel suo truststore in modo che quando comunica con il server sappia che può...
posta 04.04.2016 - 19:12
4
risposte

Come utilizzare l'override del metodo Java per attaccare?

Ho visto varie risorse che avvertono il potenziale danno di override del metodo in Java (vedi riferimento sotto). link link Non riesco a vedere il modello di thread di questo tipo di attacco, cioè quale tipo di capacità deve avere l...
posta 14.09.2016 - 06:45
2
risposte

Framework o qualsiasi soluzione per l'autenticazione / sicurezza / gestione degli accessi in applicazioni Web Java

Sto cercando un framework / soluzione per l'autenticazione / gestione / sicurezza di login utente nell'applicazione web java che possa rendere il lavoro dello sviluppatore ingenuo più facile / più veloce e rendere l'applicazione relativamente pi...
posta 04.08.2011 - 14:19
5
risposte

L'invio di password semplici su SSL come parte di un processo di aggiornamento della password è errato?

L'applicazione Web su cui sto lavorando è protetta al 100% da SSL (o meglio da TLS come viene chiamato oggi ...). L'applicazione è stata recentemente verificata da una società di sicurezza. Sono per lo più d'accordo con i loro risultati, ma c'è...
posta 19.06.2014 - 15:49
2
risposte

È possibile uscire da una stringa serializzata binaria Java?

Durante una valutazione di un'applicazione Android ho scoperto un file che conteneva dati serializzati da una chiamata standard a ObjectOutputStream.writeObject (). Una stringa serializzata nei dati è potenzialmente sotto il controllo degli atta...
posta 21.11.2018 - 17:58
2
risposte

JAVA (Applicazione Web) Dati pubblici assegnati a campo di tipo array privato

Riferendosi a questo CWE-496 , si accenna che a causa dell'applicazione che assegna dati pubblici a un array privato equivale a fornire l'accesso pubblico alla matrice. Questo non mi è chiaro perché di solito prima di poter usare l'oggetto,...
posta 17.09.2015 - 11:54
2
risposte

Dove dovrebbe essere archiviato un keystore (.jks) in un repository

Ho una domanda sulla migliore pratica nell'archiviazione di un file di archivio di chiavi ( .jks ) nel controllo del codice sorgente. Questo keystore viene chiamato da un componente Java autonomo che recupera una chiave privata allo scopo di...
posta 18.09.2015 - 14:47
1
risposta

Mailing list di annunci di sicurezza per Java

Non ho trovato una mailing list di annunci sulla sicurezza per Java (da Oracle). Come ricevere notifiche sulle nuove patch Java? Non sono interessato ad altri prodotti Oracle. Ad esempio, Apple fornisce un elenco di questo tipo con mail firma...
posta 16.11.2012 - 16:38