Oracle:Java 的序列化就是个错误，我们要删掉它!

点击上方“CSDN”，选择关注

关键时刻，第一时间送达！

作者 | 琥珀

出品 | CSDN

此前，Java提供了一种机制叫做序列化，即通过有序的格式或字节序列持久化Java对象，包括对象的数据、类型，以及保存在对象中的数据类型。简单来说，就是把对象转换为字节序列的过程。万万没想到，若干年后，Oracle意识到了Java存在的序列化漏洞，并决心剔除该特性！

近日，据外媒InfoWorld报道称，Oracle正计划从Java中去除序列化特性，一直以来，这在安全方面都是一个棘手的问题。该功能也称为“对象序列化”，主要将对象编码为字节流形式。除了用于轻量化持久性，以及通过套接字或Java RMI进行通信之外，序列化功能还支持从字节流中重构对象图。

据了解，该公司Java平台部门首席架构师Mark Reinhold表示，

“去除序列化是一项长期目标，也是Project Amber的一部分，它专注于面向生产力的Java语言特性。”

为了替换当前的序列化技术，一旦记录，会在平台中放置一个小的序列化框架，支持 Java 版本的数据类。该框架可以支持记录图形，开发人员可以插入他们选择的序列化引擎，支持 JSON 或 XML 等格式，从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。

Reinhold还提到：序列化是1997 年犯下的一个“可怕的错误”。他估计，至少有三分之一甚至是一半的Java漏洞与序列化有关。总体上，序列化是脆弱的，但具有在单一案例中易于使用的特性。

最近，Java刚刚添加了过滤功能，因此如果（开发者）必须接受自网络上使用序列化且接受不受信任的序列化数据流，则可以借此选择需要过滤掉的类以实现针对序列化安全弱点的防御机制。

Reinhold指出，Oracle目前收到很多运行在网络上的应用服务器的报告，其中未受保护的端口上使用序列化流，这就是过滤功能开发的原因。

参考链接：

https://www.infoworld.com/article/3275924/java/oracle-plans-to-dump-risky-java-serialization.html