我们担心恶意程序会尝试从RAM中读取密码。所以我们写了一个函数来覆盖密码变量,然后释放它。我们担心的是像clang或gcc这样的智能编译器会优化这个函数中的代码。该函数将字符串中的每个字符更改为空字节,然后释放该变量。
void free_pword(char* pword) {
char* pword_original = pword;
char c;
while ((c = *(pword++))) {
*pword = '\0';
}
free(pword_original);
}
现在我们的问题。我们需要这样做吗?如果没有,为什么?如果我们确实需要这样做,我们怎样才能确保覆盖不会被优化掉?
###########编辑1:(2015年2月11日)来自未来的亲人:这是我们到目前为止所发现的......
我查看了原始汇编代码(来自gcc)以确定代码是否被优化掉了,事实并非如此。我决定添加volatile,以防优化器在更新中发生变化。
测试的gcc版本。
$ gcc -v
Configured with: --prefix=/Applications/Xcode.app/Contents/Developer/usr --with-gxx-include-dir=/Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/SDKs/MacOSX10.10.sdk/usr/include/c++/4.2.1
Apple LLVM version 6.0 (clang-600.0.56) (based on LLVM 3.5svn)
Target: x86_64-apple-darwin14.1.0
Thread model: posix
我没有接受我自己的答案,因为我不是100%确定这对所有编译器都是安全的。编译专家可能会肯定地回答。
如果您需要像释放前那样安全地删除密码,请使用编译器测试此功能并查看原始程序集。您不必了解程序集,只需确保调用___bzero函数(memset)和_free函数。
目前的工作版本:
void free_pword(char * pword) {
//instead of changing the argument to the function, I added a volatile variable
//this was I don't have to change the calls to this function to remove warnings
char volatile * volatile_pword = pword;
memset((char *)volatile_pword, 0, strlen((char *)volatile_pword));
free((char *)volatile_pword);
}
答案 0 :(得分:1)
编译器完全有可能优化对memset的调用。这就是为什么有memset_s(C11)和explicit_bzero(BSD)等功能可以安全地擦除内存块。
我还认为使用volatile函数指针比转换为指向volatile的指针更可靠:
void *(*volatile forced_memset)(void *, int, size_t) = memset;
在此great thread on the musl mailing list中可以找到更多技巧,例如插入asm语句或内存障碍。在那里你还会找到指向这个有趣post on how to portably test whether any of these approaches work的指针。