Warum bietet Spring Security keine Zeichenarrayparameter für Kennwörter an?

Wenn die beste Methode für die Verarbeitung sensibler Daten in Java die Verwendung von Zeichenarrays ist, warum verwenden die meisten Methoden in Spring Security String oder CharSequence? Zum Beispiel nehmen die Methoden auf Encryptors CharSequence. In der Tat, wenn man sich den Quellcode dieser Methoden ansieht, konvertieren sie tatsächlich die CharSequence in einen String. Da die Leute in diesem Projekt mehr Lebenserfahrung in diesen Angelegenheiten haben, als ich jemals haben werde, habe ich das Gefühl, dass ich etwas verpassen muss. Hat jemand einen Einblick, wie man sensible Daten an diese Methoden weitergibt?Warum bietet Spring Security keine Zeichenarrayparameter für Kennwörter an?

Quelle

2017-07-22 baron1405

Man kann wirklich nicht viel tun, um das Leben des Passworts in einem Servlet-Container zu reduzieren, da die HttpServletRequest die HTTP Parameter als String zurückgibt. So könnte Spring Security alle Maßnahmen ergreifen, um die Lebensdauer des Passworts zu reduzieren, aber es würde keinen Unterschied machen, da der String bereits existieren würde.

-ROB Winch (Spring Security)

Source

Quelle

2017-07-22 04:05:55

Dank Rob für die schnelle Antwort. Ich hatte Angst davor. Mit anderen Worten, ich hatte Angst, dass die Designannahmen der Vergangenheit die Entwürfe diktieren würden, mit denen wir jetzt alle leben müssen, ungeachtet ihrer Sicherheitsimplikationen. Ich werde die Welt, in der ich lebe, umarmen. – baron1405

Warum bietet Spring Security keine Zeichenarrayparameter für Kennwörter an?

Antwort

Verwandte Themen