基于安全考虑甲骨文计划放弃Java的物件序列化功能

甲骨文公司Java平台首席架构师日前已经透露基于安全考虑该公司正在计划放弃Java平台的物件序列化功能。

Java平台的序列化功能可将物件转换成资料流并让其存储在数据库中，在使用时只需要将其再反序列号即可。

该平台的序列化和反序列化功能本身并没有什么问题，只是实际使用该功能时可能会引发潜在的安全威胁等。

例如有研究人员将恶意的资料上传到热门的Java应用，该资料被序列化后直接存储起来等待被反序列化使用。

但当该资料被反序列化时竟然可以执行额外的恶意程序，这个过程会极大的影响使用Java序列化功能的用户。

甲骨文首席架构师称Java在1997年支持序列化功能是个可怕的错误，因为至少有1/3的漏洞与此功能相关联。

虽然这个功能简单易用并且还是很方便的，但是对于整个Java平台以及用户资料库的安全来说这会非常脆弱。

因此甲骨文已经在考虑彻底结束对Java序列化功能的支持，取而代之的是利用插件系统来支持序列化的工作。

本文来源 InfoWorld，由 山外的鸭子哥 整理编辑，其版权均为 InfoWorld 所有，文章内容系作者个人观点，不代表 蓝点网 对观点赞同或支持。如需转载，请注明文章来源。