Как безопасный отправляет уязвимые данные по https?
Когда вы объявляете ссылочную переменную (т. е. объект), вы действительно создаете указатель на объект. Рассмотрим следующий код, в котором вы объявляете переменную примитивного типа int:
int x;
x = 10;
В этом примере переменная x является int, и Java инициализирует ее для 0. Когда вы назначаете его 10 во второй строке, ваше значение 10 записывается в ячейку памяти, на которую указывает x.
Но когда вы пытаетесь объявить ссылочный тип, произойдет что-то другое. Возьмите следующий код:
Integer num;
num = new Integer(10);
Первая строка объявляет переменную с именем num, но она не содержит примитивного значения. Вместо этого он содержит указатель (потому что тип Integer является ссылочным типом). Поскольку вы еще не указали, что указать на Java, он устанавливает значение null, что означает «Я ничего не указываю».
Во второй строке ключевое слово new используется для создания экземпляра (или создания ) объекту типа Integer и переменной указателя num присваивается этот объект. Теперь вы можете ссылаться на объект, используя оператор разыменования . (точка).
Exception, о котором вы просили, возникает, когда вы объявляете переменную, но не создавали объект. Если вы попытаетесь разыменовать num. Перед созданием объекта вы получите NullPointerException. В самых тривиальных случаях компилятор поймает проблему и сообщит вам, что «num не может быть инициализирован», но иногда вы пишете код, который непосредственно не создает объект.
Например, вы можете имеют следующий метод:
public void doSomething(SomeObject obj) {
//do something to obj
}
В этом случае вы не создаете объект obj, скорее предполагая, что он был создан до вызова метода doSomething. К сожалению, этот метод можно вызвать следующим образом:
doSomething(null);
В этом случае obj имеет значение null. Если метод предназначен для того, чтобы что-то сделать для переданного объекта, целесообразно бросить NullPointerException, потому что это ошибка программиста, и программисту понадобится эта информация для целей отладки.
Альтернативно, там могут быть случаи, когда цель метода заключается не только в том, чтобы работать с переданным в объекте, и поэтому нулевой параметр может быть приемлемым. В этом случае вам нужно будет проверить нулевой параметр и вести себя по-другому. Вы также должны объяснить это в документации. Например, doSomething может быть записано как:
/**
* @param obj An optional foo for ____. May be null, in which case
* the result will be ____.
*/
public void doSomething(SomeObject obj) {
if(obj != null) {
//do something
} else {
//do something else
}
}
Наконец, Как определить исключение & amp; причина использования Трассировки стека
10 ответов
SSL обеспечивает безопасная безопасность транспортного уровня . Никто между клиентом и сервером не должен быть в состоянии считать информацию.
, Но Вы должны передумать о записи уязвимых данных в querystring. Это обнаружится в истории браузера и видимо в строке поиска браузера и во входе в систему сервер. См. эту статью: , Насколько Безопасный Строки запроса По HTTPS?
, Если использование строк запроса является Вашей единственной опцией (я сомневаюсь относительно него), вот интересная статья об обеспечении строк запроса .
SSL безопасен, но помните, что любое шифрование может быть повреждено, если дали достаточно времени и ресурсов. Учитывая, что Вы не знаете, какие пакеты содержат пароль и которые не делают, необходимо было бы дешифровать весь зашифрованный трафик для нахождения правильного. Это тяжело в общем случае.
Однако форме входа в систему будет нужен вход [type=text] для ввода его. Это взяло бы работу, чтобы "распаковать" это и возвратить запрос к HTTP-запросу GET с помощью строк запроса, а не POST с данными в параметрах формы. Я не могу вообразить, почему любой сделал бы это. Как только пароль был предоставлен пользователем (и аутентифицируемым пользователем), используйте факт аутентификации вместо того, чтобы иметь в наличии пароль. Если необходимо сохранить пароль, поскольку олицетворение, скажем, сохраняют его стороной сервера и предпочтительно в безопасной строке. Если Вы пробуете, действительно делают единую точку входа (введите мой идентификатор однажды для многих сайтов), то используйте своего рода сервис централизованной аутентификации (CAS) - OpenID, WindowsLive - или реализуйте Ваше собственное.
, Чем меньше раз пароль пересекает провод, тем лучше.
И, всегда существует адресная панель браузера для рассмотрения, который утверждал бы, что необходимо зашифровать и закодировать любые уязвимые данные, Вы вставляете строки запроса, как упомянуто ранее.
Чувствительные данные в строке запроса - плохая идея, случайные прохожие могут видеть строку запроса и возникнет соблазн сделать закладку, которая на самом деле небезопасна.
SSL довольно безопасен, если вы занимаетесь интернет-банкингом и доверяете ему, то SSL тоже подойдет вам.
согласитесь с SSL, безопасен *, выход и querystring выпуск
помнят, что существуют ограничения на SSL -
, гарантируют, что сертификат является сертифицированным корнем.
некоторые окна 2 000 машин нужно было запросить SP 128 битов ssl для работы, если не там тогда он переходит к 40 битам или загрузка doenst (если я помню право)
Некоторые программные брандмауэры как ISA - где Вы публикуете безопасный сайт, и сертификат в нем - действуют как мужчина в середине.
Безопасный к ISA тогда Защищают к LAN. но большой фактор здесь "тогда", поскольку ISA Зарегистрируется, тогда вход является проблемой как паролем на строке запроса, и сообщение видно - что означает, что любой (администратор) видит...
Так ищут безопасное хеширование algorithims на Вашем языке для простого хеширования пароля.
Не существует «достаточно безопасного», безопасность не является статичной вещью со свойством bool, которое является либо ложным, либо истинным.
SSL хорош, но это зависит от того, насколько защищен закрытый ключ на стороне сервера, сколько битов у ключа, используемый алгоритм, насколько надежны используемые сертификаты и т. Д.
Но если вы используете SSL, то по крайней мере все передаваемые данные зашифрованы (за исключением целевого IP-адреса, поскольку он используется для маршрутизации вашего пакета).
Еще один момент, который следует учитывать: если вы вводите строку запроса пароля вручную в браузере, она может оказаться в кеше локального браузера (в полностью незашифрованном локальном файле). Так что лучше используйте POST, а не GET-механику переноса.
Если вы действительно заинтересованы в безопасности, я рекомендую больше исследований по этой теме, потому что чаще всего не алгоритм является самым слабым местом в безопасности.
Да это достаточно безопасно. В то время как я согласовываю не обычно хорошая идея так или иначе для имения материала, такого как это в строке запроса, хорошо, если не строка запроса, которая покажет в строке поиска. Если это показывает в строке поиска, Вы по очевидным причинам теряете уровень безопасности (люди, идущие, и т.д.)
Инспектор ssl может открыть трафик ssl http://www.ssl-inspector.com/files/file/SSL%20Inspector%20Appliance%20Product%20Brief%20 (2-11) .pdf
Вы никогда не должны отправлять ничему критически чувствительные строки запроса использования!
Не следует ли отправлять хешированные пароли? - не бери в голову, если я ошибаюсь.
SSL - в значительной степени самая безопасная из всех, что вы можете получить.
Самоподписанные сертификаты являются сертификатами SSL, которые создаются и подписываются собой. Это означает, что Вы не требуете, чтобы сторонний центр сертификации (CA) подписал Ваш сертификат, , но это означает, что браузеры, по умолчанию, бросят предупреждение об этом, так как самоподписанный сертификат не может надежно (Ваш браузер имеет список доверяемой АВАРИИ), проверяют, что подписывающее лицо сертификата точно, что говорит сертификат.
Рассматривают ситуацию, где Вы создаете сертификат SSL "от имени" определенной редмондской компании-разработчика программного обеспечения. Теперь, если Ваш сервер HTTP представит тот сертификат, который Вы самоподписали клиенту, то агент пользователя предупредит, что этот сертификат не может на самом деле быть то, чей он говорит, что это. Центр сертификации проверит - документами, реальным, фактическим мертво-древовидным видом - идентификационные данные стороны, запрашивающей подписание, следовательно это trustable.
Hope это помогает.