(點選上方公眾號,可快速關註)
來源:達爾文 ,
www.oschina.net/news/96511/oracle-plans-to-dump-risky-java-serialization?origin=wechat
甲骨文計劃從 Java 中剔除序列化功能,因其在安全方面一直是一個棘手的問題。 Java 序列化也稱為 Java 物件序列化,該功能用於將物件編碼為位元組流…Oracle 的 Java 平臺小組的首席架構師 Mark Reinhold 說:“刪除序列化是一個長期標的,並且是 Project Amber 的一部分,它專註於面向生產力的 Java 語言功能。”
為了替換當前的序列化技術,一旦記錄,會在平臺中放置一個小的序列化框架,支援 Java 版本的資料類。該框架可以支援記錄圖形,開發人員可以插入他們選擇的序列化引擎,支援 JSON 或 XML 等格式,從而以安全的方式序列化記錄。 但 Reinhold 還不能確定哪個版本的 Java 將具有記錄功能。
序列化在 1997 年是一個“可怕的錯誤”,Reinhold 說。 他估計至少有三分之一甚至是一半的 Java 漏洞涉及序列化。序列化總體而言存在巨大安全風險,但Reinhold表示其在簡單用例當中的出色易用性仍具有一定吸引力。
最近,Java 剛剛迎來了過濾功能,Reinhold指出,甲骨文公司目前收到大量執行在網路之上的應用伺服器的報告,併發現其中相當一部分在未受保護的埠上使用序列化流。正是為瞭解決這一問題,過濾功能才應運而生。
看完本文有收穫?請轉發分享給更多人
關註「ImportNew」,提升Java技能