セキュリティの観点から、非最終公開のパブリックインスタンスフィールドと最終的でないパブリックインスタンスフィールドの違いは？

Question

私は、このリンクを介してOBJ10-J. Do not use public static nonfinal fieldsをつもりですし、それは、そのようなフィールドへのアクセス はセキュリティマネージャによって確認されていないので、

クライアントコードは自明パブリック静的フィールドにアクセスすることができ、と言います。

実際にはどういう意味ですか？つまり、セキュリティマネージャから逃れることによって何を意味するのでしょうか？

フィールドが非最終とpublicているので、彼らは単にそれを意味している場合、どのように非最終来る、publicインスタンスは、そのstatic対応よりも異なるフィールド？

私はこの質問をしてきたと、セキュリティの面で一切の言及を見ていない、Why are static variables considered evil

publicクラスのpublic staticフィールドはとてもpublicインスタンスフィールドあまりにもどこからでもアクセス可能となり（限り、コードのセキュリティを懸念しています） 、違いはどこですか？理由不確定publicインスタンスのフィールドにセキュリティの問題はありませんが、staticは？非静的フィールドの場合は、既にOBJ01-J. Limit accessibility of fields

publicインスタンスフィールドによって覆われているため

Answer 1

はわずかに異なる理由でOBJ01-Jによって覆われています。 1つは、パブリックインスタンスフィールドを変更する前にインスタンスへの参照を持つ必要がありますが、public staticフィールドはクラスレベルで直接アクセスできます。しかし、どちらもCERTルールに反する。

Answer 2

セキュリティの問題ではなく、静的ではない最終的なパブリックインスタンスのフィールドはなぜですか？

インスタンスフィールドにアクセスするには、そのオブジェクトインスタンスへの参照が必要です。参照がない場合はアクセスできません。

あなたのコードは照会が渡されるオブジェクトを制御できます。悪意のあるコードがリフレクションを使用してオブジェクトの1つをハイジャックして参照を取得しようとすると、これを防ぐためにセキュリティマネージャをインストールすることができます。

public staticフィールドには、Classオブジェクトにアクセスできるため、クラスにアクセスできるすべてのユーザーからアクセスできます。だから、悪意のあるコードは、ここにもなるように文（パブリックインスタンスフィールドは、セキュリティマネージャを逃れること）適用、右

YourClass.PUBLIC_INSTANCE_FIELD = someValue; 

または

Class clazz = Class.forName("YourClass"); 
Field publicStaticField = clazz.getDeclaredField("PUBLIC_INSTANCE_FIELD"); 
publicStaticField.set(null, someValue);