内存堆安全：字符串垃圾回收

Question

我最近一直在为我的公司进行安全代码审查，并使用一个名为 Fortify360 的工具。它将识别代码的许多问题并描述问题。它提出了一个有趣的问题，但我没有找到任何其他信息，如下：

“如果存储在托管 String 对象中，则存储在内存中的敏感数据（例如密码）可能会泄漏。String 对象不是固定，因此垃圾收集器可以随意重新定位这些对象，并在内存中保留多个副本。默认情况下，这些对象不会加密，因此任何可以读取进程内存的人都可以看到其中的内容。内存被换出到磁盘时，字符串的未加密内容将被写入交换文件。最后，由于 String 对象是不可变的，因此从内存中删除 String 的值只能由 CLR 垃圾收集器来完成。除非 CLR 内存不足，否则不需要运行，因此无法保证何时进行垃圾收集，如果应用程序崩溃，应用程序的内存转储可能会泄露敏感数据。”

我认为所有这些都很有道理，并且在我对这个问题的研究中是相当标准的。

问题是：我该如何解决这个问题？假设有问题的一个或多个类不能从 iDisposable 继承（非常大的应用程序，并且在有问题的字符串之后很长一段时间内需要该类）。是否有手动内存管理的替代方法来处理特定字符串而不调用垃圾收集器 GC.Collect()？

提前感谢您的帮助。

亚历克斯

Answer 1

如果您想避免这种情况，您需要使用 System.SecureString，它是IDisposable，用于保存敏感数据，仅在所需的最短时间内保留该数据。

具有讽刺意味的是，MSDN 示例代码没有显式地或通过 using 封装来Dispose 实例。

Answer 2

老实说，解决这个“问题”会比它的价值更麻烦。

使用 ASP.NET 等技术时，无法阻止将用户提交的密码保留在字符串中，除非您要在发送字符串之前在客户端对其进行加密，因为 ASP.NET 会将它们作为字符串存储在表单集合等中

。如果您确实采用了 JS 加密路线，请注意任何潜在的攻击者也能够解密他从您的应用程序中恢复的字符串。

然而，如果有人闯入了 Web 服务器，他很可能会破坏整个数据库。这比从 Web 服务器堆中收集一些密码更糟糕...

现在，如果这不是 ASP.NET 应用程序，并且您可以完全控制代码中如何处理密码，那么您可以采取查看 SecureString。但您可能仍然会发现，最小的好处超过了代码复杂性的增加。这实际上取决于密码泄漏的严重程度，以及您的计算机首先受到威胁的脆弱性。如果您不担心某些远程攻击者能够调试您的进程并获取内存快照，那么这实际上不是问题。

总之：如果攻击者有能力从内存或交换中提取这些字符串，他也有能力做更糟糕的事情。