룰루랄라 알고리즘

보안에 민감한 응용프로그램들은 안전하지 않거나 약한 암호 함수를 피해야만 한다. DES (Data Encryption Standard) 암호 알고리즘은 매우 안전하지 않은 것으로 간주되는데, DES로 암호화된 메세지는 EFF Deep Crack과 같은 머신에 의해 하루 만에 무차별 대입 공격에 의해 복호화된다. 그럼 강한 암호 알고리즘을 간단하게 살펴보자. AES (Advanced Encryption Standard) AES는 다양한 키 길이를 지원하며 특히 256 비트 키 길이를 사용할 경우 높은 수준의 보안을 제공한다. 블록 암호화 방식으로 작동하며, 평문을 고정길이의 블록으로 나누어 암호화하고 복호화한다. Java Cryptography Extension 패키지를 사용하여 AES 암호화 및 복호화를..

Object가 기본적으로 제공하는 equals() 메서드는 모든 객체에 대해 메모리 주소로 비교한다 사실 지금까지 객체가 동일한지가 아닌 객체의 내용이 동일한지 판단할 때 equals를 사용했었기 때문에 잠깐 혼동이 왔었는데 내가 여태 사용했던 것은 Object.equals를 오버라이딩한 String.equals였다. 오늘 아이템은 "Object.equals()로 비교하지 말자"이다. (메모리 주소로 비교하기 때문에) 📌 솔루션 Object.equals만 사용하지 않고 여러 단계를 거쳐 검증하는 equals 해당 코드는 3단계로 이루어져 있다. 1. 두 Key가 동일한지 비교 2. 두 Key 객체의 인코딩 된 값 비교 3. 두 Key 모두 RSAPrivateKey 인스턴스라면 모듈러스와 개인 지수 비교 ..

마침 Effective Java에서 관련된 주제를 다룬 적이 있어서 자세한 내용은 아래를 참조하자. https://com-squadleader.tistory.com/267 [Effective Java] Item 50. 적시에 방어적 복사본을 만들라 자바는 네이티브 메서드를 사용하지 않아 C, C++ 같이 안전하지 않은 언어에서 흔히 보는 버퍼 오버런, 배열 오버런, 와일드 포인터 같은 메모리 충돌 오류에서 안전하다. 자바로 작성한 클래스는 com-squadleader.tistory.com 가변적 메서드의 매개변수를 방어적으로 복사하면 다양한 보안 취약점을 완화시킨다. 그러나 clone() 메서드를 부적절하게 사용하면, 정상적으로 보이지만 예상하지 못한 결과를 반환하는 매개변수를 공격자에게 제공하게 되어 ..

LDAP (Lightweight Directory Access Protocol)는 분산 디렉터리 서비스를 사용하여 정보를 저장하고 검색하기 위한 프로토콜 및 데이터 모델을 정의하는 업계 표준이다. LDAP는 주로 조직 내에서 데이터를 중앙 집중화하고 효율적으로 관리하기 위해 사용된다. LDAP의 데이터는 전통적인 관계형 데이터베이스와 다르게 저장된다. LDAP는 디렉터리 서비스를 위한 특별한 데이터 스토어를 사용하며, 이 데이터 스토어는 LDAP 프로토콜에 따라 디렉터리 엔트리 및 속성을 저장하고 검색하기 위한 목적으로 설계되었다. LDAP 데이터 스토어 LDAP 데이터 스토어는 계층적 트리 구조로 구성되며, 각 엔트리는 키-값 쌍의 속성(attribute)으로 정의되며 일반적으로 디렉터리 엔트리의 고유..

오늘 마침 학과 전공수업에서 데이터베이스 강의를 들었는데 이 강의를 듣지 않았으면 이해하지 못할 내용이었다. 굿 타이밍~ XML(Extensible Markup Language)은 관계형 데이터베이스와 유사한 방법으로 데이터를 저장하는 데 사용된다. XPath를 이용하여 이런 XML 문서로부터 데이터를 가져온다. 이러한 XPath 검색 루틴에게 제공하는 데이터를 적절하게 정제하지 않으면 XPath 인젝션이 발생할 수 있다. 공격자는 쿼리에 유효한 SQL이나 XML 구조를 입력할 수 있다. 전형적으로, 쿼리의 조건 필드가 항진명제로 해석되도록 하거나 그렇지 않으면 공격자로 하여금 권한이 필요한 정보를 엑세스할 수 있도록 한다. 부적절한 코드 - XML 패스 인젝션 아주 간단한 예제를 살펴보자 공격자의 입력..

코드 인젝션은 동적으로 구성되는 코드에 신뢰할 수 없는 입력이 삽입될 때 발생할 수 있다. 잠재적 취약점이 시작될 수 있는 확실한 한 가지 작업은 자바 코드에서 자바 스크립트를 사용하는 것이다. javax.script 패키지는 자바 스크립팅 엔진을 정의하는 인터페이스들과 클래스를 자바 코드에서 사용하기 위한 프레임워크로 구성되어 있다. javax.script API의 오용은 공격자로 하여금 대상 시스템에서 임의의 코드를 실행할 수 있도록 한다. 부적절한 코드 - javax.script API 오용 입력 값을 출력하는 자바스크립트로 신뢰할 수 없는 사용자 입력 삽입 해당 코드는 사용자로부터 JavaScript 코드를 입력받아서 실행한다. 신뢰할 수 없는 사용자 입력을 직접 실행하므로, 악의적인 사용자가 악..

지연 초기화 (lazy initialization)는 필드의 초기화 시점을 그 값이 처음 필요할 때까지 늦추는 기법이다. 따라서 값이 전혀 쓰이지 않으면 초기화도 결코 일어나지 않는다. 이 기법은 정적 필드와 인스턴스 필드 모두에 사용할 수 있다. 주로 최적화 용도로 쓰이지만, 클래스와 인스턴스 초기화 때 발생하는 위험한 순환 문제를 해결하는 효과도 있다. 지연 초기화 특징 지연 초기화는 양날의 검이다. 다른 최적화처럼 필요할 때까지는 하지 않는 게 좋다. 클래스 혹은 인스턴스 생성 시의 초기화 비용은 줄지만 그 대신 지연 초기화하는 필드에 접근하는 비용은 커진다. 실제 성능이 느려지는 이유 지연초기화하려는 필드들 중 초기화가 이뤄지는 비율 실제 초기화에 드는 비용 초기화된 각 필드를 얼마나 빈번히 호출..

한 메서드를 여러 스레드가 동시에 호출할 때 그 메서드가 어떻게 동작하느냐는 해당 클래스와 이를 사용하는 클라이언트 사이의 중요한 계약과 같다. API 문서에 아무런 언급이 없다면 사용자가 나름의 가정을 해야 하고, 그 가정이 틀리다면 심각한 오류로 이어질 수 있다. 자바독 기본 옵션에서 생성한 API 문서에는 synchronized 한정자가 포함되지 않는다. 메서드 선언에 synchronized 한정자를 선언할지는 규현 이슈일 뿐 API에 속하지 않는다. 따라서 API 문서에 synchronized 한정자가 보이더라도 스레드 안전하다고 믿기 어렵다. 스레드 안정성 수준 멀티스레드 환경에서도 API를 안전하게 사용하게 하려면 클래스가 지원하는 스레드 안전성 수준을 정확히 명시해야 한다. 스레드 안전성이 ..

자바 5에서 도입된 고수준의 동시성 유틸리티가 이전의 wait와 notify로 하드코딩해야 했던 전형적인 일들을 대신 처리해 준다. wait와 notify는 올바르게 사용하기 아주 까다로우니 고수준 동시성 유틸리티를 사용하자. java.util.concurrent의 고수준 유틸리티는 세 범주로 나뉜다. 실행자 프레임워크 동시성 컬렉션 (concurrent collection) 동기화 장치 (synchronizer) 동시성 컬렉션 List, Queue, Map 같은 표준 컬렉션 인터페이스에 동시성을 가미해 구현한 고성능 컬렉션이다. 높은 동시성에 도달하기 위해 동기화를 각자의 내부에서 수행한다. 따라서 동시성 컬렉션에서 동시성을 무력화하는 건 불가능하며, 외부에서 락을 추가로 사용하면 오히려 속도가 느려진..

실행자 프레임워크 (Executor Framework) java.util.concurrent 패키지는 실행자 프레임워크라고 하는 인터페이스 기반의 유연한 태스크 실행 기능을 담고 있다. //작업 큐 생성 ExecutorService exec = Executors.newSingleThreadExecutor(); //실행자에 task(작업) 넘기기 exec.execute(runnalbe); //실행자 종료 exec.shutdown(); 단 한 줄로 작업 큐를 생성하고, task를 넘기며, 실행자를 우아하게 종료시킬 수 있다. 실행자 서비스의 주요 기능 특정 task가 완료되기를 기다린다. task 모음 중 아무것 하나(invokeAny 메서드) 혹은 모든 task(invokeAll 메서드)가 완료되기를 기다..