基于安全考虑甲骨文计划放弃Java的物件序列化功能
甲骨文公司Java平台首席架构师日前已经透露基于安全考虑该公司正在计划放弃Java平台的物件序列化功能。
Java平台的序列化功能可将物件转换成资料流并让其存储在数据库中,在使用时只需要将其再反序列号即可。
该平台的序列化和反序列化功能本身并没有什么问题,只是实际使用该功能时可能会引发潜在的安全威胁等。
例如有研究人员将恶意的资料上传到热门的Java应用,该资料被序列化后直接存储起来等待被反序列化使用。
但当该资料被反序列化时竟然可以执行额外的恶意程序,这个过程会极大的影响使用Java序列化功能的用户。
甲骨文首席架构师称Java在1997年支持序列化功能是个可怕的错误,因为至少有1/3的漏洞与此功能相关联。
虽然这个功能简单易用并且还是很方便的,但是对于整个Java平台以及用户资料库的安全来说这会非常脆弱。
因此甲骨文已经在考虑彻底结束对Java序列化功能的支持,取而代之的是利用插件系统来支持序列化的工作。