网站首页 > java教程 正文
点击上方“CSDN”,选择关注
关键时刻,第一时间送达!
作者 | 琥珀
出品 | CSDN
此前,Java提供了一种机制叫做序列化,即通过有序的格式或字节序列持久化Java对象,包括对象的数据、类型,以及保存在对象中的数据类型。简单来说,就是把对象转换为字节序列的过程。万万没想到,若干年后,Oracle意识到了Java存在的序列化漏洞,并决心剔除该特性!
近日,据外媒InfoWorld报道称,Oracle正计划从Java中去除序列化特性,一直以来,这在安全方面都是一个棘手的问题。该功能也称为“对象序列化”,主要将对象编码为字节流形式。除了用于轻量化持久性,以及通过套接字或Java RMI进行通信之外,序列化功能还支持从字节流中重构对象图。
据了解,该公司Java平台部门首席架构师Mark Reinhold表示,
“去除序列化是一项长期目标,也是Project Amber的一部分,它专注于面向生产力的Java语言特性。”
为了替换当前的序列化技术,一旦记录,会在平台中放置一个小的序列化框架,支持 Java 版本的数据类。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持 JSON 或 XML 等格式,从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。
Reinhold还提到:序列化是1997 年犯下的一个“可怕的错误”。他估计,至少有三分之一甚至是一半的Java漏洞与序列化有关。总体上,序列化是脆弱的,但具有在单一案例中易于使用的特性。
最近,Java刚刚添加了过滤功能,因此如果(开发者)必须接受自网络上使用序列化且接受不受信任的序列化数据流,则可以借此选择需要过滤掉的类以实现针对序列化安全弱点的防御机制。
Reinhold指出,Oracle目前收到很多运行在网络上的应用服务器的报告,其中未受保护的端口上使用序列化流,这就是过滤功能开发的原因。
参考链接:
https://www.infoworld.com/article/3275924/java/oracle-plans-to-dump-risky-java-serialization.html
猜你喜欢
- 2024-10-08 Java核心知识 基础六 JAVA序列化(创建可复用的Java对象)
- 2024-10-08 java中的序列化(JAVA中的序列化)
- 2024-10-08 Java 面试题之 序列化和反序列化的深入理解
- 2024-10-08 java序列化和反序列化实例详解(java序列化和反序列化实例详解区别)
- 2024-10-08 java对象序列化(java对象序列化到文件)
- 2024-10-08 实战案例:轻松搞定Java两种序列化机制
- 2024-10-08 java序列化机制之protobuf(快速高效跨语言)
- 2024-10-08 Java路径-40-Java序列化(未检测到java sdk环境请在配置中添加sdk安装路径)
- 2024-10-08 java序列化知多少(java序列化怎么实现)
- 2024-10-08 你会吗?Java之序列化和反序列化(java反序列化过程)
你 发表评论:
欢迎- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)