Знатокам серилизации вопрос / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Знатокам серилизации вопрос

19 сообщений из 19, страница 1 из 1

Знатокам серилизации вопрос

#34089921

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

Начитавшись теории, проверил следующий пример:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

 import  java.io.*;

 class  A  implements  Serializable {
	 private   void  writeObject(ObjectOutputStream out){
		System.out.println("A.writeObject()");
	}
	 private   void  readObject(ObjectInputStream in){
		System.out.println("A.readObject()");
	}
}

 public   class  test {
	 public   static   void  main(String[] args)  throws  Exception {
		A a= new  A();
		ObjectOutputStream out= new  ObjectOutputStream( new  FileOutputStream("a.out"));
		ObjectInputStream in= new  ObjectInputStream( new  FileInputStream("a.out"));
		out.writeObject(a);
		in.readObject();
	}
}

В результате, действительно все работает. Экземпляры классов ObjectOutputStream out и ObjectInputStream in легко вызывают ЗАКРЫТЫЕ методы класса А!!!(вместо своих). Естественно, они используют средства отражениея, т.е. анализируют объект Class класса A , и найдя, что в нем определены функции writeObject и readObject - вызывают их. Интерфейс Serializable не содержит данных методов!
Вопрос, как такое возможно? Ведь эти классы никак не связаны ни каких дружественных связей!

...

Рейтинг:

0 / 0

30.10.2006, 06:31:54

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34089978

ponomarevvb

Участник

Сообщения: 365

Рейтинг: 0 / 0

VectorВопрос, как такое возможно? Ведь эти классы никак не связаны ни каких дружественных связей!
"Такое" - это какое? Что private-методы вызываются? Так Вы же уже ответили, через reflection это делается... Вот кусок из кода ObjectOutputStream:

Код: plaintext

1.
2.
3.
4.
5.

writeObjectMethod = getPrivateMethod(
	cl, "writeObject", 
	 new   Class [] { ObjectOutputStream. class  }, 
	 Void .TYPE
);

--С уважением, ponomarevvb--

...

Рейтинг:

0 / 0

30.10.2006, 08:39:06

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34089981

ponomarevvb

Участник

Сообщения: 365

Рейтинг: 0 / 0

Ну и там же, в ObjectOutputStream, смотрите код getPrivateMethod :)
--С уважением, ponomarevvb--

...

Рейтинг:

0 / 0

30.10.2006, 08:40:24

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090009

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

Т.е. вы хотите сказать, что любой класс может получить доступ к закрытым членам класса через механизм отражения???
Зачем тогда вообще нужны эти спецификации доступа?
Если и так все очень просто:
1.Получил от любого объекта объект Class,
2.Изучил его с помощью механизма отражения,
3.Делай что хочешь...

А если у тебя в закрытом члене класса хранится открытый пароль???

...

Рейтинг:

0 / 0

30.10.2006, 08:53:31

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090040

он же

Участник

Сообщения: 472

Рейтинг: 0 / 0

VectorТ.е. вы хотите сказать, что любой класс может получить доступ к закрытым членам класса через механизм отражения???
Зачем тогда вообще нужны эти спецификации доступа?
Если и так все очень просто:
1.Получил от любого объекта объект Class,
2.Изучил его с помощью механизма отражения,
3.Делай что хочешь...

А если у тебя в закрытом члене класса хранится открытый пароль???

Механизм отражений - вещь специфическая и в коде применяется не часто.
Спецификации доступа нужны для написания грамотного кода.
Вас где штампуют таких красивых, которые хотят пароль хранить в члене класса?

...

Рейтинг:

0 / 0

30.10.2006, 09:15:14

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090047

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

А где еще его хранить после дешифрования???
В Java есть только объекты, исключая примитивные типы, да и те можно определить только в классе. Или впервые слышите об этом?
Если где-то открытый пароль и будет хранится (даже на время проверки), то только в классе - больше негде.

...

Рейтинг:

0 / 0

30.10.2006, 09:19:05

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090053

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

Или может привести другой пример? Для чего думаете введено слово transient?
Именно для того чтобы скрывать от серилизации такие секретные сведения из класса.

...

Рейтинг:

0 / 0

30.10.2006, 09:21:53

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090239

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

Ну вообще! Я не знаю как эт называется, но вот этот код работает на ура!:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

 import  java.io.*;
 import  java.lang.*;
 import  java.lang.reflect.*;

 class  A {
         private   void  XMethod() {System.out.println("private A.XMethod()");}
}

 public   class  testX {
	 public   static   void  main(String[] args)  throws  Exception {
		A a= new  A();
		 Class  ac=a.getClass();
		Method wrOb=ac.getDeclaredMethod("XMethod");
		wrOb.setAccessible(true);
		wrOb.invoke(a);
	}
}

Получается, что нет закрытых членов класса!!! Это просто ж...

...

Рейтинг:

0 / 0

30.10.2006, 10:39:10

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090293

он же

Участник

Сообщения: 472

Рейтинг: 0 / 0

VectorА где еще его хранить после дешифрования???
Если где-то открытый пароль и будет хранится (даже на время проверки), то только в классе - больше негде.
Спокойно. Не нужно нервничать.
Вы не с той стороны подходите к проблеме.
Пароль не нужно расшифровывать. Это глупо, опасно и неправильно.

Пароль нужно шифровать и сравнивать с уже зашифрованным. Если они совпадают - вуаля, всё хорошо. А если вы в применении к БД этот вопрос поднимаете - так вам вообще задумываться об этом не нужно - просто передали в БД то, что пользователь ввёл в форме и забыли о нём.

...

Рейтинг:

0 / 0

30.10.2006, 10:59:16

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090294

он же

Участник

Сообщения: 472

Рейтинг: 0 / 0

Vector
Именно для того чтобы скрывать от серилизации такие секретные сведения из класса.
Нет. Почему - см. мой предыдущий пост.

...

Рейтинг:

0 / 0

30.10.2006, 10:59:52

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090300

он же

Участник

Сообщения: 472

Рейтинг: 0 / 0

VectorНу вообще! Я не знаю как эт называется, но вот этот код работает на ура!:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

 import  java.io.*;
 import  java.lang.*;
 import  java.lang.reflect.*;

 class  A {
         private   void  XMethod() {System.out.println("private A.XMethod()");}
}

 public   class  testX {
	 public   static   void  main(String[] args)  throws  Exception {
		A a= new  A();
		 Class  ac=a.getClass();
		Method wrOb=ac.getDeclaredMethod("XMethod");
		wrOb.setAccessible(true);
		wrOb.invoke(a);
	}
}

Получается, что нет закрытых членов класса!!! Это просто ж...

Вы такие конструкции постоянно используете в своём коде?
Почему вас так возбудили отражения? Я не могу понять :)

...

Рейтинг:

0 / 0

30.10.2006, 11:01:03

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090328

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

Насчет паролей Вы правы.
Дело не в механизме отражения, а в возможности доступа к закрытым членам класса, которые предназначены только для внутреннего использования.
Ну, к примеру, это может быть связано с сокрытием реализации, с нежеланием давать доступ к некоторым алгоритмам внутри класса.
Например, исправив некотрые закрытые члены класса класс может может сделать запрещенную операцию. А это источник потенциальной опасности.
Или, как любят говорить, дыра, уязвимость and etc.

Просто после С++ такие вещи просто шокируют.

...

Рейтинг:

0 / 0

30.10.2006, 11:09:40

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090334

Кувалдин Роман

Участник

Откуда: Московская область

Сообщения: 1 240

Рейтинг: 0 / 0

Настрой SecurityManager не по дефолту (разрешено все) а как надо, и не будет у тебя доступа к приватным данным.

=====================================
Страну, в которой все ходят на бровях,
на колени не поставишь...
=====================================

...

Рейтинг:

0 / 0

30.10.2006, 11:11:03

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090342

Кувалдин Роман

Участник

Откуда: Московская область

Сообщения: 1 240

Рейтинг: 0 / 0

VectorНасчет паролей Вы правы.
Дело не в механизме отражения, а в возможности доступа к закрытым членам класса, которые предназначены только для внутреннего использования.
Ну, к примеру, это может быть связано с сокрытием реализации, с нежеланием давать доступ к некоторым алгоритмам внутри класса.
Например, исправив некотрые закрытые члены класса класс может может сделать запрещенную операцию. А это источник потенциальной опасности.
Или, как любят говорить, дыра, уязвимость and etc.

Просто после С++ такие вещи просто шокируют.

А что мешает на сях поставить прерывание на функцию и поправить адрес возврата в стеке?

...

Рейтинг:

0 / 0

30.10.2006, 11:12:37

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090365

он же

Участник

Сообщения: 472

Рейтинг: 0 / 0

Что один написал, то другой завсегда сломать может :)

...

Рейтинг:

0 / 0

30.10.2006, 11:17:47

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090387

Timm

Участник

Откуда: Moscow, Ё-burg

Сообщения: 3 678

Рейтинг: 0 / 0

Кувалдин РоманНастрой SecurityManager не по дефолту (разрешено все) а как надо, и не будет у тебя доступа к приватным данным.

=====================================
Страну, в которой все ходят на бровях,
на колени не поставишь...
=====================================

+1
http://java.sun.com/j2se/1.4.2/docs/api/java/lang/Class.html#getDeclaredMethod(java.lang.String, java.lang.Class[])

...

Рейтинг:

0 / 0

30.10.2006, 11:22:32

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090649

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

А можно пример с SecurityManager в контексте класса А.

Т.е. к примеру, я создаю свой класс, который позже будет использоваться кем-то еще. Как мне надо настроить безопасность, чтобы другой программист не мог добраться до private методов даже с помощью методов, указанных выше.

...

Рейтинг:

0 / 0

30.10.2006, 12:19:48

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34090996

он же

Участник

Сообщения: 472

Рейтинг: 0 / 0

VectorА можно пример с SecurityManager в контексте класса А.

Т.е. к примеру, я создаю свой класс, который позже будет использоваться кем-то еще. Как мне надо настроить безопасность, чтобы другой программист не мог добраться до private методов даже с помощью методов, указанных выше.

Вы точно уверены, что вам нужен именно такой путь? Вот честно скажу - не видел в жизни еще, чтобы требовалось прятать private методы так чтобы их никто никогда не нашел.

Ведь насколько я помню - securityPermission'ы настраиваются на экземпляре JDK или в runtime?
Что помешает другому программисту сказать AllPermission?

...

Рейтинг:

0 / 0

30.10.2006, 13:30:16

| Ответить | Цитировать | Написать

Знатокам серилизации вопрос

#34091100

Vector

Участник

Откуда: Новосибирск

Сообщения: 361

Рейтинг: 0 / 0

Вот именно.
Всем участникам огромное спасибо за обсуждение!
Всем удачи.

...

Рейтинг:

0 / 0

30.10.2006, 13:54:10

| Ответить | Цитировать | Написать

19 сообщений из 19, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / Знатокам серилизации вопрос

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&msg=34090239&tid=2147658]:	0ms
get settings:	12ms
get forum list:	12ms
check forum access:	3ms
check topic access:	3ms
track hit:	662ms
get topic data:	8ms
get forum data:	2ms
get page messages:	38ms
get tp. blocked users:	1ms
others:	237ms

total:	978ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы