我刚刚回答了question,我说虽然字符串实习很好,但它可能是一个安全问题,因为稍后可以轻松访问字符串值。
虽然我很确定这是真的 :-) 我不确定这真的很容易。我尝试用谷歌搜索这个主题,但没有得到相关结果(google-fu 在这方面很弱),所以我在 SO 上试试你们。
您知道在应用程序域中访问 intered 字符串列表的任何“简单”方法吗?我必须使用内存转储之类的东西还是有像 AppDomain.GetInteredStringsList() 这样的方法?
与此相关:从 intered 字符串中获取任何有用的数据真的很容易。将敏感数据存储在字符串中真的存在安全漏洞吗?
【问题讨论】:
这不是特别容易 - 但它是可行的。
基本上,如果您有任何可以进行内存转储的东西,您可以找到看起来像是字符串对象的内存位。 (特别是,它们在开始时都有相同的“类型信息指针”,所以如果你有一个示例字符串,你就走了。)
顺便说一句,这与实习字符串无关。这不像 所有 字符串都是被实习的 - 只有字符串常量和用户明确实习的字符串。
【讨论】:
存储真的是一个安全漏洞吗 字符串中的敏感数据?
是的,绝对是的!
应使用SecureString 类存储敏感安全数据。
编辑:
因为即使是实习字符串也存储在托管堆中,使用转储堆的工具会显示应用程序中的所有字符串。
【讨论】:
string 会很安全。
在合理的应用程序中,密码存储在字符数组中,以便在不再需要时可以覆盖它们。
【讨论】:
并非不可能...虽然不一定通过托管代码。任何可以访问进程转储(windb / sos / 等)的东西都可以轻松查找字符串。
【讨论】: