基于安全考虑甲骨文计划放弃Java的物件序列化功能

甲骨文公司Java平台首席架构师日前已经透露基于安全考虑该公司正在计划放弃Java平台的物件序列化功能。

Java平台的序列化功能可将物件转换成资料流并让其存储在数据库中,在使用时只需要将其再反序列号即可。

该平台的序列化和反序列化功能本身并没有什么问题,只是实际使用该功能时可能会引发潜在的安全威胁等。

基于安全考虑甲骨文计划放弃Java的物件序列化功能

例如有研究人员将恶意的资料上传到热门的Java应用,该资料被序列化后直接存储起来等待被反序列化使用。

但当该资料被反序列化时竟然可以执行额外的恶意程序,这个过程会极大的影响使用Java序列化功能的用户。

甲骨文首席架构师称Java在1997年支持序列化功能是个可怕的错误,因为至少有1/3的漏洞与此功能相关联。

虽然这个功能简单易用并且还是很方便的,但是对于整个Java平台以及用户资料库的安全来说这会非常脆弱。

因此甲骨文已经在考虑彻底结束对Java序列化功能的支持,取而代之的是利用插件系统来支持序列化的工作。

本文来源 InfoWorld,由 山外的鸭子哥 整理编辑,其版权均为 InfoWorld 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
0
限时免费领取正版套装:全方位PDF软件文电通PDF 5正版套装
哇哦恭喜您已成功屏蔽了蓝点网的小广告

发表评论