基于安全考虑甲骨文计划放弃Java的物件序列化功能

甲骨文公司Java平台首席架构师日前已经透露基于安全考虑该公司正在计划放弃Java平台的物件序列化功能。

Java平台的序列化功能可将物件转换成资料流并让其存储在数据库中,在使用时只需要将其再反序列号即可。

该平台的序列化和反序列化功能本身并没有什么问题,只是实际使用该功能时可能会引发潜在的安全威胁等。

基于安全考虑甲骨文计划放弃Java的物件序列化功能

例如有研究人员将恶意的资料上传到热门的Java应用,该资料被序列化后直接存储起来等待被反序列化使用。

但当该资料被反序列化时竟然可以执行额外的恶意程序,这个过程会极大的影响使用Java序列化功能的用户。

甲骨文首席架构师称Java在1997年支持序列化功能是个可怕的错误,因为至少有1/3的漏洞与此功能相关联。

虽然这个功能简单易用并且还是很方便的,但是对于整个Java平台以及用户资料库的安全来说这会非常脆弱。

因此甲骨文已经在考虑彻底结束对Java序列化功能的支持,取而代之的是利用插件系统来支持序列化的工作。

本文来源 InfoWorld,由 山外的鸭子哥 整理编辑,其版权均为 InfoWorld 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
已赞1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

发表评论