просматривая здесь некоторые результаты Fortify, и он говорит мне не использовать строковые типы данных для конфиденциальных данных, потому что они могут слишком долго зависать в памяти. Это раскрывает данные пользователя в случае несвязанной атаки на память, такой как Heartbleed.
Если я устанавливаю для строки var значение null после использования, действительно ли эта ячейка памяти очищается или создается копия var для хранения значения null?
Спасибо
Я думаю, вы задаете неправильный вопрос.
Если вы установите для переменной значение null, то эта ссылка обязательно указывает на значение null. Исходное значение может быть удалено сборщиком мусора.
Проблема в том, что строки немного сложнее. Вопрос, который вы должны задать: почему еще строки могут оставаться в памяти?
Одним из ответов на этот вопрос является пул строковых литералов. Google — ваш друг, но вот неплохое начало:
Что такое Java пул строк и чем «s» отличается от новой строки («s»)?
Когда строка будет собираться мусором в java
Сборка мусора строковых литералов
Если вы установите для ссылок String значение null, то они могут быть не удалены из фактической памяти и могут быть доступны для потенциального хакера.
Вы можете использовать Char[] и установить для него нулевые/недопустимые символы, чтобы избежать этой проблемы, а также всегда лучше хранить данные sensitive в формате encrypted.
