<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.16788" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>String or char[] are both mutable objects in java 
so will behave the same way from GC perspective (as copies will be made to 
handle the references to the same object and deleted when you 
exit).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>From threat perspective in effect depends on the 
threat scenario and the context of the application&nbsp;(client vs server code, 
exposure likelihood etc) as pointed out from Pravir a threat model should drive 
the source code analysis for the API in question to determine the risk. 
</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Inherently anyway the risk seems low 
based&nbsp;considering the time window (as Jim describe while sitting in 
RAM).</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>My 0.01 cents :)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Regards</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Marco</FONT></DIV>
<DIV>
<DIV class=Section1>
<P class=MsoNormal><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><A 
href="http://www.owasp.org/index.php/Cincinnati">OWASP Chapter 
Lead</A></SPAN><?xml:namespace prefix = o ns = 
"urn:schemas-microsoft-com:office:office" /><o:p></o:p></P>
<P class=MsoNormal><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><A 
href="http://securesoftware.blogspot.com/">Writing Secure Software <SPAN 
class=SpellE>Blogger</SPAN></A></SPAN><o:p></o:p></P>
<P class=MsoNormal><o:p>&nbsp;</o:p></P></DIV></DIV>
<BLOCKQUOTE 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=sherif.fathy@gmail.com href="mailto:sherif.fathy@gmail.com">Sherif 
  Koussa</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  title=owasp-leaders@lists.owasp.org 
  href="mailto:owasp-leaders@lists.owasp.org">owasp-leaders@lists.owasp.org</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Thursday, January 15, 2009 8:04 
  PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [Owasp-leaders] Generating 
  Passwords</DIV>
  <DIV><BR></DIV>Well, in this particular case, it doesn't really matter because 
  you are creating a copy of the original password which will be deleted either 
  way after createConnection is returned. However, it might make a difference in 
  the code that passes the password to createConnection favouring for the array 
  of characters as data in Strings cann't be deleted. My 0.02$.
  <DIV><BR></DIV>
  <DIV>Regards,</DIV>
  <DIV>Sherif<BR><BR>
  <DIV class=gmail_quote>On Thu, Jan 15, 2009 at 5:37 PM, McGovern, James F 
  (HTSC, IT) <SPAN dir=ltr>&lt;<A href="mailto:James.McGovern@thehartford.com" 
  target=_blank>James.McGovern@thehartford.com</A>&gt;</SPAN> wrote:<BR>
  <BLOCKQUOTE class=gmail_quote 
  style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
    <DIV>
    <P><FONT face=Arial size=2>I am curious whether others believe that 
    passwords should be done in a way that avoids garbage collection. For 
    example, I could do the below:</FONT></P>
    <P><FONT face="Times New Roman">public </FONT><A 
    href="http://java.sun.com/j2ee/1.4/docs/api/javax/jms/Connection.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>Connection</FONT></U></A><FONT face="Times New Roman"><B> 
    createConnection</B>(</FONT><A 
    href="http://java.sun.com/j2se/1.4/docs/api/java/lang/String.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>String</FONT></U></A><FONT face="Times New Roman"> userName, 
    </FONT><A href="http://java.sun.com/j2se/1.4/docs/api/java/lang/String.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>String</FONT></U></A><FONT face="Times New Roman"> password) 
    throws </FONT><A 
    href="http://java.sun.com/j2ee/1.4/docs/api/javax/jms/JMSException.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>JMSException</FONT></U></A> <BR><FONT face=Arial 
    size=2>Or</FONT> <BR><FONT face="Times New Roman">public </FONT><A 
    href="http://java.sun.com/j2ee/1.4/docs/api/javax/jms/Connection.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>Connection</FONT></U></A><FONT 
    face="Times New Roman"></FONT><B> <FONT 
    face="Times New Roman">createConnection</FONT></B><FONT 
    face="Times New Roman">(</FONT><A 
    href="http://java.sun.com/j2se/1.4/docs/api/java/lang/String.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>String</FONT></U></A><FONT face="Times New Roman"> userName, 
    char[] password) throws </FONT><A 
    href="http://java.sun.com/j2ee/1.4/docs/api/javax/jms/JMSException.html" 
    target=_blank><U><FONT face="Times New Roman" 
    color=#0000ff>JMSException</FONT></U></A> <BR><FONT 
    face="Times New Roman">Where the later wouldn't allow the password to linger 
    in memory. Do I have a false belief?</FONT> </P><BR>
    <P><A href="http://www.owasp.org/index.php/Password_length_&amp;_complexity" 
    target=_blank><U><FONT face=Arial color=#0000ff 
    size=2>http://www.owasp.org/index.php/Password_length_&amp;_complexity</FONT></U></A> 
    </P><PRE>************************************************************
This communication, including attachments, is for the exclusive use of addressee and may contain proprietary, confidential and/or privileged information.  If you are not the intended recipient, any use, copying, disclosure, dissemination or distribution is strictly prohibited.  If you are not the intended recipient, please notify the sender immediately by return e-mail, delete this communication and destroy all copies.
************************************************************
</PRE></DIV><BR>_______________________________________________<BR>OWASP-Leaders 
    mailing list<BR><A href="mailto:OWASP-Leaders@lists.owasp.org" 
    target=_blank>OWASP-Leaders@lists.owasp.org</A><BR><A 
    href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" 
    target=_blank>https://lists.owasp.org/mailman/listinfo/owasp-leaders</A><BR><BR></BLOCKQUOTE></DIV><BR></DIV>
  <P>
  <HR>

  <P></P>_______________________________________________<BR>OWASP-Leaders 
  mailing 
  list<BR>OWASP-Leaders@lists.owasp.org<BR>https://lists.owasp.org/mailman/listinfo/owasp-leaders<BR></BLOCKQUOTE></BODY></HTML>