ASCE1885

java.lang.Object.equals()函数默认情况下是不能用来比较组合对象的，例如密钥值。很多Key类没有覆写equals()函数，因此，组合对象的比较必须单独比较里面的各个类型以保证正确性。［不符合安全要求的代码示例］     下面的代码使用equals()函数比较两个key值，key值即使具有相同的取值也可能会返回不相等，导致结果出错。 private static b

明文保存密码的程序在很多方面容易造成密码的泄漏。虽然用户输入的密码一般时明文形式，但是应用程序必须保证密码不是以明文形式存储的。     限制密码泄漏危险的一个有效的方法是使用散列函数，它使得程序中可以间接的对用户输入的密码和原来的密码进行比较，而不需要保存明文或者对密码进行解密后比较。这个方法使密码泄漏的风险降到最低，同时没有引入其他缺点。［加密散列函数］     散列函数产

安全性要求高的应用程序必须避免使用不安全的或者强度弱的加密算法，现代计算机的计算能力使得攻击者通过暴力破解可以攻破强度弱的算法。例如，数据加密标准算法DES是极度不安全的，使用类似EFF（Electronic Frontier Foundaton） Deep Crack的计算机在一天内可以暴力破解由DES加密的消息。［不符合安全要求的代码示例］     下面的代码使用强度弱的DES

当竞争对手的应用程序与我们的应用程序运行在同一个系统上时，我们的应用程序在内存中的敏感数据是很容易被竞争对手获取的。如果我们的应用程序符合下面几种情况之一，那么竞争对手可以获取到我们应用的敏感数据：1）应用程序使用对象来存储敏感数据，而且在对象使用完后，对象的内容没有被清除或者对象没有被垃圾回收；2）在操作系统运行内存管理任务或者执行休眠等功能时，应用程序的内存分页将被置换到磁盘上保存；

当构建CS模式的应用程序时，在客户端侧存储敏感信息（例如用户私要信息）可能导致非授权的信息泄漏。     对于Web应用程序来说，最常见的泄漏问题是在客户端使用cookies存放服务器端获取的敏感信息。Cookies是由web服务器创建的，它具有一个指定的有效时间，保存在客户端。当客户端连接上服务器端时，客户端使用cookies中存储的信息向服务器端进行认证，通过后服务器端返回敏感信息。