|
|
从1997年开始的一个“可怕的错误”,用于编码对象的Java对象序列化能力具有严重的安全问题
甲骨文计划从Java中退出它的序列化功能,这在安全方面一直是一个棘手的问题。也称为Java对象序列化,该功能用于将对象编码为字节流。用于轻量级持久性和通过套接字或Java RMI进行通信,序列化还支持从流中重建对象图。
Oracle的Java平台部门首席架构师Mark Reinhold说,去除序列化是一个长期目标,也是Project Amber的一部分,它专注于面向生产力的Java语言特性。
为了替换当前的序列化技术,一旦支持Java版本的数据类,就会在平台中放置一个小的序列化框架。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持JSON或XML等格式,从而以安全的方式序列化记录。但Reinhold还不能确定哪个版本的Java将具有记录功能。
序列化在1997年是一个“可怕的错误”,Reinhold说。他估计至少有三分之一甚至一半的Java漏洞涉及序列化。序列化总体上是脆弱的,但具有在简单用例中易于使用的吸引力,Reinhold说。
最近,为Java添加了过滤功能,因此如果在网络上使用序列化并且必须接受不受信任的序列化数据流,则可以过滤哪些类,以提供针对序列化安全弱点的防御机制。 Reinhold说,甲骨文收到了很多关于运行在网络上的应用服务器的报告,其中没有受保护的端口采用序列化流,这就是为什么开发过滤功能的原因。
|
|
加载中...
发表于 2018-5-25 12:03:46
发表于 2018-10-1 22:07:41