技术摘要：如何编写安全的Java代码

　　当对对象序列化时，直到它被反序列化，它不在Java运行时环境的控制之下，因此也不在Java平台提供的安全控制范围内。

　　在实现Serializable时务必将以下事宜牢记在心：

　　• transient

　　在包含系统资源的直接句柄和相对地址空间信息的字段前使用transient关键字。 如果资源，如文件句柄，不被声明为transient，该对象在序列化状态下可能会被修改，从而使得被反序列化后获取对资源的不当访问。

　　• 特定类的序列化/反序列化方法

　　为了确保反序列化对象不包含违反一些不变量集合的状态，类应该定义自己的反序列化方法并使用ObjectInputValidation接口验证这些变量。

　　如果一个类定义了自己的序列化方法，它就不能向任何DataInput/DataOuput方法传递内部数组。所有的DataInput/DataOuput方法都能被重写。注意默认序列化不会向DataInput/DataOuput字节数组方法暴露私有字节数组字段。

　　如果Serializable类直接向DataOutput(write(byte [] b))方法传递了一个私有数组，那么黑客可以创建ObjectOutputStream的子类并覆盖write(byte [] b)方法，这样他可以访问并修改私有数组。下面示例说明了这个问题。

　　你的类:

　　黑客代码

　　• 字节流加密

　　保护虚拟机外的字节流的另一方式是对序列化包产生的流进行加密。字节流加密防止解码或读取被序列化的对象的私有状态。如果决定加密，应该管理好密钥，密钥的存放地点以及将密钥交付给反序列化程序的方式等。

　　• 需要提防的其他事宜

　　如果不可信任代码无法创建对象，务必确保不可信任代码也不能反序列化对象。切记对对象反序列化是创建对象的另一途径。

　　比如说，如果一个applet创建了一个frame，在该frame上创建了警告标签。如果该frame被另一应用程序序列化并被一个applet反序列化，务必使该frame出现时带有同一个警告标签。

　　原生方法

　　应从以下几个方面检查原生方法：

　　• 它们返回什么

　　• 它们需要什么参数

　　• 它们是否绕过了安全检查

　　• 它们是否是公共的，私有的等

　　• 它们是否包含能绕过包边界的方法调用，从而绕过包保护

　　清除敏感信息

　　当保存敏感信息时，如机密，尽量保存在如数组这样的可变数据类型中，而不是保存在字符串这样的不可变对象中，这样使得敏感信息可以尽早显式地被清除。不要指望Java平台的自动垃圾回收来做这种清除，因为回收器可能不会清除这段内存，或者很久后才会回收。尽早清除信息使得来自虚拟机外部的堆检查攻击变得困难。

查看本文来源