SecurityManager带来的惊喜

Question

我想创建一个限制性很强的安全管理器，所以我扩展了SecurityManager并覆盖了所有自定义的checkXXX方法。

但是后来我发现我的安全经理是无用的，因为任何人都可以：

System.setSecurityManager(null);

所以我不得不补充一句：

@Override    public void checkPermission(Permission perm)  {
    if (perm.getName().equals("setSecurityManager")) {
        throw new SecurityException("You shall have no other security manager but me!");
    }
}

还有更多的惊喜吗？要使我的SecurityManager密封，我还需要做什么吗？

Answer 1

我至少能想到几件事：

1. 有人可以使用反射将System.security字段设置为accessible，然后将其设置为他们想要的任何内容。
2. 某人可以使用sun.misc.Unsafe用他们想要的任何随机的东西直接覆盖内存中的实例。

我认为您的SecurityManager可以防范这些事情，因为它们都依赖于对Field.setAccessible()的调用。但最好是测试一下，以确定。