ホームページ >Java >&#&チュートリアル >Java での機密データの保護: ベスト プラクティスとコーディング ガイドライン
Java での機密データの保護: ベスト プラクティスとコーディング ガイドライン
- Barbara Streisandオリジナル
- 2025-01-16 12:12:58611ブラウズ
この記事では、Java アプリケーション内の機密データを保護するという重要な役割を強調し、欠陥のあるデータ処理、インジェクション攻撃、不適切な入力検証などの蔓延する脆弱性を取り上げます。 Oracle のセキュア コーディングのベスト プラクティスを、非セキュアなコーディング手法とセキュアなコーディング手法の両方の例とともに示して紹介します。
機密データには、意図しない公開や盗難が個人情報の盗難やその他の犯罪行為などの重大な損害につながる可能性があるため、個人や組織が不正な開示から保護しようと努めている情報が含まれます (Baig、2021)。 これには、個人の個人情報 (支払い情報、生年月日) と組織の機密情報が含まれます。
Java は固有のセキュリティ メカニズムを提供しますが、不適切なデータ処理、インジェクション攻撃に対する脆弱性、不十分な入力検証、および可変オブジェクトの安全でない管理によって脆弱性が発生する可能性があります。
Java の所有者である Oracle (未確認) は、Java SE 向けの包括的なセキュア コーディング ガイドラインを提供しています。主なガイドラインには次のものが含まれます:
- ガイドライン 2: 機密情報 (Oracle、未確認)
- ガイドライン 2–1 / 機密-1: 例外内で機密情報を公開することは避けてください。 例外は内部状態やファイル パスを公開してはなりません。
- ガイドライン 2–2 / 機密-2: 機密性の高い情報の記録は控えてください。 ログには、パスワードやセキュリティ トークンなどの機密データを除外する必要があります。
- ガイドライン 2–3 / 機密-3: 使用後は、機密性の高い情報をメモリから削除することを検討してください。 これにより、潜在的な暴露ウィンドウが最小限に抑えられます。
機密データの安全でないログ記録や保存は、不正アクセスのリスクを大幅に高めます。
コード例:
安全でないコード: ユーザーのパスワードを平文で記録することは、安全なコーディングの原則に違反します。
<code class="language-java">public class PasswordLogger {
public void logPassword(String password) {
// Logs sensitive data—violates secure coding guidelines
System.out.println("Password: " + password);
}
}</code>
安全なコード: 機密データはログから削除またはマスクする必要があります。
<code class="language-java">public class SecurePasswordLogger {
public void logPassword() {
System.out.println("Password logging is not permitted.");
}
}</code>
- ガイドライン 3: インジェクションとインクルージョン (Oracle、未確認)
- ガイドライン 3–1 / INJECT-1: 入力フォーマットが適切であることを確認します。 フォーマットエラーを防ぐために、すべての入力をサニタイズします。
- ガイドライン 3–2 / INJECT-2: 動的 SQL を避けてください。パラメータ化された SQL クエリを使用して、SQL インジェクションの脆弱性を軽減します。
これらの脆弱性により、攻撃者はクエリを操作し、機密データを侵害することができます。
コード例:
安全でないコード: サニタイズせずに動的 SQL を使用するのは危険です。
<code class="language-java">String query = "SELECT * FROM users WHERE username = '" + username + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(query);</code>
安全なコード: パラメーター化されたクエリはインジェクション攻撃を防ぎます。
<code class="language-java">String query = "SELECT * FROM users WHERE username = ?"; PreparedStatement pstmt = connection.prepareStatement(query); pstmt.setString(1, username); ResultSet rs = pstmt.executeQuery();</code>
- ガイドライン 5: 入力検証 (Oracle、未確認)
- ガイドライン 5–1 / INPUT-1: すべての入力を検証します。 信頼できないソースからのデータをサニタイズして検証します。
- ガイドライン 5–2 / INPUT-2: さらなる処理を行う前に、信頼できないソースからの出力を再検証します。
不適切な入力検証により、攻撃者が悪意のあるコードを挿入したり、制限されたデータにアクセスしたりする可能性があります。
コード例:
安全なコード: 入力検証により、悪意のあるコードの挿入を防ぎます。
<code class="language-java">public class PasswordLogger {
public void logPassword(String password) {
// Logs sensitive data—violates secure coding guidelines
System.out.println("Password: " + password);
}
}</code>
結論として、機密データを保護することが最も重要です。 不適切なデータ処理、インジェクションの脆弱性、不適切な入力検証により、アプリケーションのセキュリティが大きく損なわれる可能性があります。 機密データのログ記録の回避、パラメータ化された SQL クエリの採用、すべての入力の検証、変更可能なオブジェクトの適切な管理など、安全なコーディング ガイドラインに従うことで、開発者は堅牢で安全な Java アプリケーションを作成できます。
参考文献:
ベイグ、A. (2021、5 月 17 日)。 機密データとは何ですか? セキュリティ。 https://www.php.cn/link/1d1f05e59ddfa82248f422b49a72c2b3
オラクル (未確認)。 Java SE の安全なコーディング ガイドライン。 2023 年 5 月更新。オラクル。 https://www.php.cn/link/9565d975e952ec21ae8131e05130036c
元々は、2024 年 11 月 14 日に Level UPcoding によって、Medium の Alex.omegapy で公開されました。
以上がJava での機密データの保護: ベスト プラクティスとコーディング ガイドラインの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。