룰루랄라 알고리즘

LDAP (Lightweight Directory Access Protocol)는 분산 디렉터리 서비스를 사용하여 정보를 저장하고 검색하기 위한 프로토콜 및 데이터 모델을 정의하는 업계 표준이다. LDAP는 주로 조직 내에서 데이터를 중앙 집중화하고 효율적으로 관리하기 위해 사용된다. LDAP의 데이터는 전통적인 관계형 데이터베이스와 다르게 저장된다. LDAP는 디렉터리 서비스를 위한 특별한 데이터 스토어를 사용하며, 이 데이터 스토어는 LDAP 프로토콜에 따라 디렉터리 엔트리 및 속성을 저장하고 검색하기 위한 목적으로 설계되었다. LDAP 데이터 스토어 LDAP 데이터 스토어는 계층적 트리 구조로 구성되며, 각 엔트리는 키-값 쌍의 속성(attribute)으로 정의되며 일반적으로 디렉터리 엔트리의 고유..

오늘 마침 학과 전공수업에서 데이터베이스 강의를 들었는데 이 강의를 듣지 않았으면 이해하지 못할 내용이었다. 굿 타이밍~ XML(Extensible Markup Language)은 관계형 데이터베이스와 유사한 방법으로 데이터를 저장하는 데 사용된다. XPath를 이용하여 이런 XML 문서로부터 데이터를 가져온다. 이러한 XPath 검색 루틴에게 제공하는 데이터를 적절하게 정제하지 않으면 XPath 인젝션이 발생할 수 있다. 공격자는 쿼리에 유효한 SQL이나 XML 구조를 입력할 수 있다. 전형적으로, 쿼리의 조건 필드가 항진명제로 해석되도록 하거나 그렇지 않으면 공격자로 하여금 권한이 필요한 정보를 엑세스할 수 있도록 한다. 부적절한 코드 - XML 패스 인젝션 아주 간단한 예제를 살펴보자 공격자의 입력..

코드 인젝션은 동적으로 구성되는 코드에 신뢰할 수 없는 입력이 삽입될 때 발생할 수 있다. 잠재적 취약점이 시작될 수 있는 확실한 한 가지 작업은 자바 코드에서 자바 스크립트를 사용하는 것이다. javax.script 패키지는 자바 스크립팅 엔진을 정의하는 인터페이스들과 클래스를 자바 코드에서 사용하기 위한 프레임워크로 구성되어 있다. javax.script API의 오용은 공격자로 하여금 대상 시스템에서 임의의 코드를 실행할 수 있도록 한다. 부적절한 코드 - javax.script API 오용 입력 값을 출력하는 자바스크립트로 신뢰할 수 없는 사용자 입력 삽입 해당 코드는 사용자로부터 JavaScript 코드를 입력받아서 실행한다. 신뢰할 수 없는 사용자 입력을 직접 실행하므로, 악의적인 사용자가 악..

지연 초기화 (lazy initialization)는 필드의 초기화 시점을 그 값이 처음 필요할 때까지 늦추는 기법이다. 따라서 값이 전혀 쓰이지 않으면 초기화도 결코 일어나지 않는다. 이 기법은 정적 필드와 인스턴스 필드 모두에 사용할 수 있다. 주로 최적화 용도로 쓰이지만, 클래스와 인스턴스 초기화 때 발생하는 위험한 순환 문제를 해결하는 효과도 있다. 지연 초기화 특징 지연 초기화는 양날의 검이다. 다른 최적화처럼 필요할 때까지는 하지 않는 게 좋다. 클래스 혹은 인스턴스 생성 시의 초기화 비용은 줄지만 그 대신 지연 초기화하는 필드에 접근하는 비용은 커진다. 실제 성능이 느려지는 이유 지연초기화하려는 필드들 중 초기화가 이뤄지는 비율 실제 초기화에 드는 비용 초기화된 각 필드를 얼마나 빈번히 호출..

한 메서드를 여러 스레드가 동시에 호출할 때 그 메서드가 어떻게 동작하느냐는 해당 클래스와 이를 사용하는 클라이언트 사이의 중요한 계약과 같다. API 문서에 아무런 언급이 없다면 사용자가 나름의 가정을 해야 하고, 그 가정이 틀리다면 심각한 오류로 이어질 수 있다. 자바독 기본 옵션에서 생성한 API 문서에는 synchronized 한정자가 포함되지 않는다. 메서드 선언에 synchronized 한정자를 선언할지는 규현 이슈일 뿐 API에 속하지 않는다. 따라서 API 문서에 synchronized 한정자가 보이더라도 스레드 안전하다고 믿기 어렵다. 스레드 안정성 수준 멀티스레드 환경에서도 API를 안전하게 사용하게 하려면 클래스가 지원하는 스레드 안전성 수준을 정확히 명시해야 한다. 스레드 안전성이 ..

자바 5에서 도입된 고수준의 동시성 유틸리티가 이전의 wait와 notify로 하드코딩해야 했던 전형적인 일들을 대신 처리해 준다. wait와 notify는 올바르게 사용하기 아주 까다로우니 고수준 동시성 유틸리티를 사용하자. java.util.concurrent의 고수준 유틸리티는 세 범주로 나뉜다. 실행자 프레임워크 동시성 컬렉션 (concurrent collection) 동기화 장치 (synchronizer) 동시성 컬렉션 List, Queue, Map 같은 표준 컬렉션 인터페이스에 동시성을 가미해 구현한 고성능 컬렉션이다. 높은 동시성에 도달하기 위해 동기화를 각자의 내부에서 수행한다. 따라서 동시성 컬렉션에서 동시성을 무력화하는 건 불가능하며, 외부에서 락을 추가로 사용하면 오히려 속도가 느려진..

실행자 프레임워크 (Executor Framework) java.util.concurrent 패키지는 실행자 프레임워크라고 하는 인터페이스 기반의 유연한 태스크 실행 기능을 담고 있다. //작업 큐 생성 ExecutorService exec = Executors.newSingleThreadExecutor(); //실행자에 task(작업) 넘기기 exec.execute(runnalbe); //실행자 종료 exec.shutdown(); 단 한 줄로 작업 큐를 생성하고, task를 넘기며, 실행자를 우아하게 종료시킬 수 있다. 실행자 서비스의 주요 기능 특정 task가 완료되기를 기다린다. task 모음 중 아무것 하나(invokeAny 메서드) 혹은 모든 task(invokeAll 메서드)가 완료되기를 기다..

과도한 동기화는 성능을 떨어뜨리고, 교착상태에 빠뜨리고, 예측할 수 없는 동작을 낳기도 한다. 응답 불가와 안전 실패를 피하려면 동기화 메서드나 동기화 블록 안에서는 제어를 절대로 클라이언트에 양도하면 안 된다. 동기화된 영역 안에서는 재정의할 수 있는 메서드는 호출하면 안 되며, 클라이언트가 넘겨준 함수 객체를 호출해서도 안된다. 외계인 메서드 (Alien method) 외계인 메서드 (alien method) : 동기화된 영역을 포함한 클래스 관점에서 클라이언트가 넘겨준 함수 객체 또는 재정의할 수 있는 메서드 외계인 메서드가 하는 일에 따라 동기화된 영역은 예외를 일으키거나, 교착상태에 빠지거나, 데이터를 훼손할 수도 있다. 잘못된 코드 예시 - 동기화 블록 안에서 외계인 메서드 호출 클래스의 클라..

synchronized는 해당 메서드나 블록을 한 번에 한 스레드씩 수행하도록 보장한다. 동기화의 두가지 용도 배타적 실행 한 스레드가 변경하는 중이라서 상태가 일관되지 않은 순간의 객체를 다른 스레드가 보지 못하게 막는다. 스레드 사이의 안정적 통신 동기화 없이는 한 스레드가 만든 변화를 다른 스레드에서 확인하지 못할 수 있다. 동기화는 일관성이 깨진 상태를 볼 수 없게 하는 것은 물론, 동기화된 메서드나 블록에 들어간 스레드가 같은 lock의 보호하에 수행된 모든 이전 수정의 최종 결과를 보게 해 준다. 동기화는 배타적 실행뿐 아니라 스레드 사이의 안정적인 통신에 꼭 필요하다. long, double 외의 변수를 일고 쓰는 동작은 원자적(atomic)이다 여러 스레드가 같은 변수를 동기화 없이 수정하..

API 설계자가 메서드 선언에 예외를 명시하는 까닭은 그 메서드를 사용할 때 적절한 조치를 취해달라고 말하는 것이다. 해당 메서드 호출을 try문으로 감싼 후 catch 블록에서 아무 일도 하지 않으면 예외는 아주 쉽게 무시된다. catch 블록을 비워두면 예외가 존재할 이유가 없어진다. 예외를 무시해야 할 때 FileInputStream을 닫을 때 입력 전용 스트림이므로 파일의 상태를 변경하지 않았으니 복구할 것이 없으며, 스트림을 닫는다는 건 필요한 정보는 이미 다 읽었다는 뜻이니 남은 작업을 중단할 이유도 없다. 예외를 무시하기로 했다면 catch 블록 안에 그렇게 결정하기로한 이유를 주석으로 남기고 예외 변수의 이름도 ignored로 바꾸자. public class IgnoredExceptionE..